eg 2012 - curtea de conturi a...

Pag. 1 din 180

eg

GHIDUL DE AUDIT

AL

SISTEMELOR INFORMATICE

BUCUREŞTI

2012

2012

Pag. 2 din 180

Pag. 3 din 180

CUPRINS

Introducere ............................................................................................................................................ 6

Capitolul 1. Problematica generală .................................................................................... 8

1.1 Auditul sistemelor informatice ......................................................................................... 8 1.1.1 Domeniul de aplicare ................................................................................................................. 8 1.1.2 Documente de referinţă (reglementări) aplicabile în domeniul auditului IS / IT 9 1.1.3 Etapele auditului sistemelor informatice ....................................................................... 10 1.1.4 Obiective generale şi obiective specifice ale auditului IT / IS ................................ 10 1.1.5 Criterii de evaluare generice ............................................................................................... 11 1.1.6 Determinarea naturii şi volumului procedurilor de audit ....................................... 11 1.1.7 Revizuirea controalelor IT în cadrul misiunilor de audit financiar ...................... 12 1.1.8 Evaluarea riscurilor ................................................................................................................ 13 1.1.9 Tehnici şi metode de audit ................................................................................................... 15 1.1.10 Colectarea, inventarierea şi documentarea probelor de audit............................... 15 1.1.11 Formularea constatărilor şi recomandărilor ................................................................ 16 1.1.12 Elaborarea raportului de audit ........................................................................................... 16

1.2 Probleme de audit asociate cu utilizarea sistemelor IT / IS ................................ 17

1.3 Evaluarea sistemelor informatice financiar-contabile .......................................... 19 1.3.1 Informaţii de fond privind sistemele IT / IS ale entităţii auditate ........................ 22 1.3.2 Controale IT generale ............................................................................................................. 23 1.3.3 Evaluarea aplicaţiei şi evaluarea riscurilor zonei contabile.................................... 25 1.3.4 Sisteme în curs de dezvoltare.............................................................................................. 31 1.3.5 Anomalii frecvente în operarea sistemului ................................................................... 31 1.3.6 Documente şi informaţii solicitate entităţii auditate ................................................. 32

Capitolul 2. Proceduri de audit IT ................................................................................... 34

2.1 Informaţii de fond privind sistemele IT ale entităţii auditate ............................ 35 PROCEDURA A1 - Privire generală asupra entităţii auditate ................................................ 35 PROCEDURA A2 - Principalele probleme IT rezultate din activităţile anterioare de audit 36 PROCEDURA A3 - Dezvoltări informatice planificate .............................................................. 36 PROCEDURA A4 - Configuraţia hardware (echipamente), software (programe informatice) şi personalul IT ............................................................................................................. 36 PROCEDURA A5 - Cerinţe pentru specialiştii în auditul sistemului informatic ............. 37 PROCEDURA A6 - Activitatea necesară pentru evaluarea sistemelor ............................... 37 PROCEDURA A7 - Contacte cheie ..................................................................................................... 37

2.2 Evaluarea mediului de control IT – Controale generale IT ................................... 38 PROCEDURA B1 - Managementul sistemului informatic ........................................................ 39 PROCEDURA B2 - Separarea atribuţiilor ...................................................................................... 50 PROCEDURA B3 - Securitatea fizică şi controalele de mediu ................................................ 53 PROCEDURA B4 - Securitatea informaţiei şi a sistemelor ...................................................... 55 PROCEDURA B5 - Continuitatea sistemelor................................................................................. 66 PROCEDURA B6 - Externalizarea serviciilor IT .......................................................................... 75

Pag. 4 din 180

PROCEDURA B7 - Managementul schimbării şi al dezvoltării de sistem ......................... 76 PROCEDURA B8 - Auditul intern IT ................................................................................................ 82

2.3 Revizuirea controalelor aplicaţiei şi evaluarea riscurilor asociate .................. 83 PROCEDURA CA1 - Înţelegerea sistemului informatic financiar - contabil ..................... 84 PROCEDURA CA2 - Posibilitatea de efectuare a auditului ...................................................... 86 PROCEDURA CA3 - Utilizarea tehnicilor de audit asistat de calculator (CAAT) ............ 86 PROCEDURA CA4 – Determinarea răspunderii .......................................................................... 88 PROCEDURA CA5 – Evaluarea documentaţiei aplicaţiei ......................................................... 89 PROCEDURA CA6 – Evaluarea securităţii aplicaţiei ................................................................. 90 PROCEDURA CA7 – Evaluarea controalelor privind introducerea datelor ..................... 91 PROCEDURA CA8 – Evaluarea controalelor privind transmisia de date .......................... 93 PROCEDURA CA9 – Evaluarea controalelor prelucrării .......................................................... 94 PROCEDURA CA10 – Evaluarea controalelor privind datele de ieşire .............................. 95 PROCEDURA CA11 – Evaluarea controalelor privind fişierele de date permanente ... 97 PROCEDURA CA12 - Evaluarea conformităţii aplicaţiilor cu legislaţia în vigoare ........ 98 PROCEDURA CA13 - Efectuarea testelor de audit ..................................................................... 99 2.3.1 Norme metodologice ale Ministerului Finanţelor Publice privind criterii şi cerinţe minimale pentru sistemele informatice financiar- contabilitate........................ 101 2.3.2 Volumul de teste de control ............................................................................................... 102

Capitolul 3. Riscuri IT ........................................................................................................ 104

3.1 Probleme cu impact semnificativ asupra riscului de audit ................................ 104

3.2 Riscurile generate de existenţa mediului informatizat ....................................... 106 3.2.1 Dependenţa de IT ................................................................................................................... 106 3.2.2 Resurse şi cunoştinţe IT ...................................................................................................... 107 3.2.3 Încrederea în IT ...................................................................................................................... 108 3.2.4 Schimbări în domeniul sistemelor IT / IS ..................................................................... 110 3.2.5 Externalizarea serviciilor IT .............................................................................................. 111 3.2.6 Focalizarea pe afacere .......................................................................................................... 112 3.2.7 Securitatea informaţiei ........................................................................................................ 113 3.2.8 Protecţia fizică a sistemelor IT ......................................................................................... 114 3.2.9 Operarea sistemelor IT ........................................................................................................ 115 3.2.10 Dezvoltări efectuate de utilizatorii finali ...................................................................... 117

Capitolul 4. Evaluarea mediului informatizat în entităţile mici ......................... 119

4.1 Evaluarea mediului informatizat cu calculatoare PC individuale ................... 119 4.1.1 Particularităţile auditului în medii cu calculatoare individuale .......................... 119 4.1.2 Efectul utilizării calculatoarelor individuale asupra sistemului financiar contabil ..................................................................................................................................................... 122 4.1.3 Efectul unui mediu cu calculatoare individuale asupra procedurilor de audit 123

4.2 Efectul implementării şi utilizării sistemelor de gestiune a bazelor de date (SGBD) asupra sistemului financiar contabil ................................................................... 123

4.2.1 Particularităţile controlului intern aferent mediului cu baze de date ............... 124 4.2.2 Efectul utilizării bazelor de date asupra sistemului financiar contabil ............ 126 4.2.3 Efectul utilizării bazelor de date asupra procedurilor de audit ........................... 127

4.3 Utilizarea tehnicilor de audit asistat de calculator în mediile IT ale entităţilor mici 129

Pag. 5 din 180

Capitolul 5. Documente de lucru .................................................................................... 131

Referinţe bibliografice.................................................................................................................. 134

Anexa 1 - Glosar de termeni ........................................................................................................ 135

Anexa 2 - Lista documentelor ..................................................................................................... 143

Macheta 1 .......................................................................................................................................... 145

Macheta 2 .......................................................................................................................................... 146

Macheta 3 .......................................................................................................................................... 147

Macheta 4 .......................................................................................................................................... 149

Anexa 3 Lista de verificare pentru evaluarea controalelor generale .......................... 151

Anexa 4 Lista de verificare pentru evaluarea riscurilor .................................................. 169

Anexa 5 Lista de verificare pentru evaluarea controalelor de aplicaţie .................... 174

Pag. 6 din 180

Introducere Ghidul de audit al sistemelor informatice constituie o extensie a Manualului de audit al sistemelor informatice elaborat în cadrul Curţii de Conturi a României (CCR) şi detaliază implementarea practică a procedurilor de audit în medii informatizate, transpunând la nivel operaţional elementele cu caracter metodologic prezentate în manual. Manualul se axează preponderent, pe descrierea celor mai noi concepte, metode, tehnici şi proceduri aferente contextului general al auditului sistemelor informatice, precum şi pe problematica auditului sistemelor informatice financiar-contabile.

In timp ce manualul se concentrează pe aspectele strict necesare înţelegerii conceptelor, standardelor, metodologiilor şi procedurilor asociate auditului IT/IS 1 fără de care un auditor nu poate aborda corect acest domeniu, ghidul prezintă în mod concret, activităţile, procesele, tehnicile, procedurile şi documentele specifice acestui tip de audit şi furnizează auditorilor publici externi informaţii practice privind evaluarea mediului informatizat, facilitând integrarea procedurilor proprii ale auditului IT/IS în contextul misiunilor de audit în care auditorii publici externi sunt implicaţi.

În ceea ce priveşte tipul şi conţinutul acţiunilor de verificare desfăşurate de CCR (acţiuni de control, misiuni de audit financiar şi misiuni de audit al performanţei), în condiţiile extinderii pe scară largă a informatizării instituţiilor publice, auditul IT/IS constituie o componentă a misiunilor de audit ale CCR, având la bază cerinţele Regulamentului privind organizarea şi desfăşurarea activităţilor specifice Curţii de Conturi, precum şi valorificarea actelor rezultate din aceste activităţi. În acest context, ghidul prezintă în detaliu procedurile de audit specifice mediului informatizat pe care auditorii trebuie să le aplice atunci când evaluează disponibilitatea, integritatea şi confidenţialitatea informaţiilor care provin din sistemul informatic financiar-contabil în scopul formulării unei opinii în legătură cu încrederea în acestea.

Structura documentului

Documentul este structurat după cum urmează: un capitol introductiv, cinci capitole dedicate problemelor de fond, o listă de referinţe bibliografice şi un număr de anexe (glosar de termeni; lista documentelor specifice auditului IT/IS solicitate entităţii, machete şi liste de verificare)

Capitolul 1 cuprinde o sinteză a problematicii generale specifice auditului sistemelor informatice, sunt prezentate probleme de audit asociate cu utilizarea sistemelor informatice şi aspectele specifice evaluării sistemelor informatice financiar-contabile.

Capitolul 2 prezintă în detaliu procedurile de audit IT pentru evaluarea mediului informatizat: obţinerea informaţiilor de fond privind sistemele IT ale entităţii auditate (Procedurile A1 – A7), evaluarea controalelor generale IT (Procedurile B1 – B8), evaluarea controalelor de aplicaţie (Procedurile CA1 – CA13). Aceste proceduri au fost

1 Information Technology / Information Systems

Pag. 7 din 180

prezentate la nivel teoretic în Manualul auditului sistemelor informatice2. Pentru aspectele tehnice teoretice, în ghid se fac trimiteri la prezentările din manual.

Referitor la cazul particular al sistemelor informatice financiar-contabile, în Capitolul 2, este prezentată o listă a criteriilor şi cerinţelor minimale formulate de Ministerul Finanţelor Publice, pentru sistemele informatice financiar-contabile.

În Capitolul 3 este prezentată metodologia de evaluare a riscurilor generate de existenţa mediului informatizat, precum şi impactul semnificativ al acestor sisteme atât asupra activităţii entităţilor, cât şi asupra riscului de audit.

Capitolul 4 prezintă metodologia de evaluare a sistemelor informatice pentru entităţi mici (de exemplu, primării), care au în dotare, în multe cazuri, un singur calculator.

În Capitolul 5 se face o prezentare a documentelor de lucru specifice auditului IT/IS. Sunt ataşate modele relevante pentru machete şi liste de verificare.

2 Ediţia 2012

Pag. 8 din 180

Capitolul 1. Problematica generală Prezentul capitol descrie într-o manieră sintetică problematica generală asociată domeniului auditului sistemelor informatice, referitoare la utilizarea unui cadru metodologic şi procedural orientat pe fluxul activităţilor care se desfăşoară în cadrul unei misiuni de audit IT, misiune care are ca scop investigarea şi evaluarea conformităţii proceselor care au loc în cadrul unei entităţi cu cerinţele unui cadru de reglementare, respectiv un set de standarde, bune practici, legislaţie, metodologii. Rezultatele evaluărilor se materializează în constatări şi concluzii care reflectă opiniile auditorului prin prisma obiectivelor misiunii de audit. În cazul constatării unor neconformităţi, auditorul formulează recomandări pentru remedierea acestora şi perfecţionarea activităţii entităţii.

Subiectele abordate sunt următoarele:

a) problematica generală specifică auditului IT (domeniul de aplicare, documente de referinţă (reglementări) aplicabile în domeniul auditului IT/IS, obiective generale şi obiective specifice ale auditului IT/IS, criterii de evaluare generice, determinarea naturii şi volumului procedurilor de audit, revizuirea controalelor IT în cadrul misiunilor de audit în medii informatizate),

b) evaluarea riscurilor generate de implementarea şi utilizarea sistemelor informatice,

c) tehnici şi metode de audit,

d) colectarea, inventarierea şi documentarea probelor de audit,

e) elaborarea raportului de audit.

1.1 Auditul sistemelor informatice

În concordanţă cu cadrul de lucru INTOSAI şi cu standardele asociate, în ceea ce priveşte tipul şi conţinutul acţiunilor de verificare desfăşurate de Curtea de Conturi a României (acţiuni de control, misiuni de audit financiar şi misiuni de audit al performanţei), în condiţiile extinderii accentuate a informatizării instituţiilor publice, auditul sistemelor informatice poate constitui o componentă a acestor acţiuni sau se poate desfăşura de sine stătător, de regulă prin misiuni de audit al performanţei implementării şi utilizării de sisteme, soluţii informatice sau servicii electronice care fac obiectul unor programe naţionale sau proiecte complexe de impact pentru societate, având efecte în planul modernizării unor domenii sau activităţi.

1.1.1 Domeniul de aplicare

Datorită extinderii misiunilor de audit şi a acţiunilor de control care se desfăşoară în medii informatizate, se accentuează necesitatea asigurării convergenţei metodelor şi standardelor de audit financiar cu metodele şi standardele de audit IT. Pentru a verifica satisfacerea cerinţelor pentru informaţie (eficacitate, eficienţă, confidenţialitate, integritate, disponibilitate, conformitate şi încredere), se are în vedere, auditarea sistemului informatic care furnizează informaţia financiar-contabilă.

Pag. 9 din 180

Având în vedere contextul actual, în Regulamentul privind organizarea şi desfăşurarea activităţilor specifice Curţii de Conturi, precum şi valorificarea actelor rezultate din aceste activităţi, a fost inclusă evaluarea sistemelor informatice financiar-contabile ca fiind o componentă obligatorie pentru toate acţiunile de control şi audit desfăşurate în medii informatizate. În acest cadru, este obligatorie colectarea informaţiilor privind controalele IT implementate în sistemul de control intern al entităţii auditate, prin intermediul Chestionarului pentru evaluarea sistemului IT.

In cadrul acţiunilor de control şi audit financiar desfăşurate de către structurile Curţii de Conturi, auditorii publici externi vor efectua evaluări ale sistemelor informatice existente la entităţile auditate, pentru a determina dacă sistemele şi aplicaţiile furnizează informaţii de încredere pentru acţiunile respective. Constatările vor evidenţia punctele tari şi punctele slabe ale sistemului informatic şi vor menţiona aspectele care trebuie remediate. Pe baza acestora se vor formula recomandări privind perfecţionarea structurii de procese, controale şi proceduri IT existente. Principalele constatări, concluzii şi recomandări formulate pe parcursul misiunii de audit vor fi sintetizate şi vor fi înaintate conducerii entităţii auditate, constituind obiectul valorificării raportului de audit. Modul de implementare a recomandărilor şi stadiul implementării acestora vor fi revizuite periodic, la termene comunicate entităţii auditate.

În cadrul Curţii de Conturi, auditul sistemelor informatice este un audit de tip multidisciplinar cu caracter transversal, interdepartamental. Curtea de Conturi va desfăşura orice misiuni de audit IT menite să creeze condiţiile optime pentru derularea eficientă a celorlalte forme de control şi audit şi să ofere suportul tehnic pentru aceste misiuni.

Extinderea utilizării tehnologiei informaţiei în toate domeniile, inclusiv în cel al sistemelor financiar-contabile, care presupune atât extinderea controalelor IT în cadrul sistemului de control intern al entităţilor auditate/controlate, cât şi existenţa unor programe şi proiecte de mare anvergură finanţate din fonduri publice, materializate în investiţii IT cu valori foarte mari, generează necesitatea perfecţionării modelelor tradiţionale de auditare şi extinderea auditului sistemelor informatice în activitatea Curţii de Conturi.

Scopul generic al misiunilor de audit al sistemelor informatice este obţinerea unei asigurări rezonabile asupra implementării şi funcţionării sistemului, în conformitate cu prevederile legislaţiei în vigoare, cu reglementările în domeniu, cu standardele internaţionale şi ghidurile de bune practici, precum şi evaluarea sistemului din punctul de vedere al furnizării unor servicii informatice de calitate sau prin prisma performanţei privind modernizarea administraţiei şi asigurarea încrederii în utilizarea mijloacelor electronice.

1.1.2 Documente de referinţă (reglementări) aplicabile în domeniul auditului IS/IT

Constituţia României; Legea nr. 94/1992 privind organizarea şi funcţionarea Curţii de Conturi, cu

modificările şi completările ulterioare; Regulamentul privind organizarea şi desfăşurarea activităţilor specifice Curţii de

Conturi, precum şi valorificarea actelor rezultate din aceste activităţi;

Pag. 10 din 180

Manualul de audit al sistemelor informatice, elaborat de Curtea de Conturi a României, ediţia 2012

Manualul de auditul performanţei, elaborat de Curtea de Conturi a României, ediţia 2012.

1.1.3 Etapele auditului sistemelor informatice

Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea auditului, raportarea şi revizuirea auditului.

Acestea sunt detaliate în Manualul de audit al sistemelor informatice, elaborat de Curtea de Conturi a României, ediţia 2012.

1.1.4 Obiective generale şi obiective specifice ale auditului IT / IS

Obiectivele misiunii de audit au un rol determinant în abordarea auditului, din acestea decurgând cerinţe şi restricţii privind desfăşurarea activităţilor în toate etapele misiunii de audit: planificarea auditului, efectuarea auditului, raportare şi revizuire.

Abordarea generală a auditului IT/IS se bazează pe evaluarea riscurilor. Pentru auditul performanţei implementării şi utilizării sistemelor informatice se asociază şi abordarea pe rezultate. Auditul se poate efectua pentru întreg ciclul de viaţă al sistemelor şi aplicaţiilor informatice sau se poate raporta numai la anumite componente specificate sau la anumite etape de dezvoltare a sistemului.

Pentru misiunile de audit IT/IS desfăşurate de Curtea de Conturi, formularea obiectivelor generale se face în funcţie de scopul evaluării: audit în medii informatizate (formularea unei opinii referitoare la încrederea în informaţiile furnizate de sistemul informatic pentru o acţiune de control/misiune de audit financiar sau audit al performanţei) sau evaluarea performanţei unei activităţi bazate pe tehnologia informaţiei.

În funcţie de tematica auditului, auditorul public extern are sarcina de a clarifica obiectivele auditului, de a identifica referenţialul pentru efectuarea auditării (standarde, bune practici, reglementări, reguli, proceduri, dispoziţii contractuale, etc.) şi de a examina gradul în care cerinţele care decurg sunt aplicate şi contribuie la realizarea obiectivelor entităţíi.

În principiu, există două categorii de probleme care pot constitui obiective generale ale auditului:

stabilirea conformităţii rezultatelor entităţii cu un document de referinţă, conformitate asupra căreia trebuie să se pronunţe auditorul;

evaluarea eficacităţii cadrului procedural şi de reglementare şi a focalizării acestuia pe obiectivele entităţii.

Pornind de la obiectivul general, se formulează obiective specifice care determină direcţiile de audit, cerinţele concrete şi criteriile care vor sta la baza evaluărilor. Ca obiective specifice generice, se vor avea în vedere:

Evaluarea soluţiilor arhitecturale şi de implementare a sistemului informatic; Evaluarea infrastructurii hardware şi software: echipamente, sisteme, aplicaţii; Evaluarea implicării managementului de la cel mai înalt nivel în perfecţionarea

guvernanţei IT; Evaluarea calităţii personalului utilizator al sistemelor şi aplicaţiilor informatice;

Pag. 11 din 180

Evaluarea securităţii sistemului informatic; Evaluarea disponibilităţii şi accesibilităţii informaţiilor; Evaluarea continuităţii sistemului; Evaluarea managementului schimbărilor şi al dezvoltării sistemului; Evaluarea sistemului de management al documentelor; Evaluarea utilizării serviciilor electronice disponibile; Evaluarea schimbului de informaţii şi a comunicării cu alte instituţii; Conformitatea cu legislaţia în vigoare; Identificarea şi analiza riscurilor decurgând din utilizarea sistemului informatic,

precum şi a impactului acestora; Evaluarea efectelor implementării şi utilizării infrastructurii IT în modernizarea

activităţii entităţii auditate.

1.1.5 Criterii de evaluare generice

Misiunea de audit al sistemelor informatice are în vedere următoarele criterii de evaluare generice:

Dacă sistemul informatic asigură un cadru adecvat, bazat pe integrarea tehnologiilor informatice pentru desfăşurarea continuă a activităţii;

Dacă activităţile desfăşurate pe parcursul derulării proiectelor IT/IS sunt conforme cu obiectivele şi termenele de realizare, aprobate la nivel instituţional, la fundamentarea acestora;

Dacă pe parcursul proiectelor s-au înregistrat dificultăţi tehnice, de implementare sau de altă natură;

Dacă implementarea proiectelor conduce la modernizarea activităţii entităţii, contribuind la integrarea unor noi metode de lucru, adecvate şi conforme cu noile abordări pe plan european şi internaţional;

Dacă este asigurată continuitatea sistemului; Dacă sistemul informatic funcţionează în conformitate cu cerinţele programelor şi

proiectelor informatice privind integralitatea, acurateţea şi veridicitatea, precum şi cu standardele specifice de securitate;

Dacă soluţia tehnică este fiabilă şi susţine funcţionalitatea cerută în vederea creşterii calităţii activităţii;

Dacă pregătirea utilizatorilor atinge nivelul performanţei cerute de această nouă abordare, analizată prin prisma impactului cu noile tehnologii;

Dacă există şi au fost respectate standarde privind calitatea suportului tehnic şi metodologic.

Criteriile de audit pot fi diferite de la un audit la altul, în funcţie de obiectivele specifice ale misiunii de audit.

1.1.6 Determinarea naturii şi volumului procedurilor de audit

Natura şi volumul procedurilor de audit necesare pentru evaluarea controalelor aferente mediului informatizat variază în funcţie de obiectivele auditului şi de alţi factori care trebuie luaţi în considerare: natura şi complexitatea sistemului informatic al entităţii, mediul de control al entităţii, precum şi conturile şi aplicaţiile semnificative pentru obţinerea situaţiilor financiare.

Auditorul public extern cu atribuţii de evaluare a sistemului IT şi auditorul public extern cu atribuţii de auditare a situaţiilor financiar contabile trebuie să coopereze pentru a

Pag. 12 din 180

determina care sunt activităţile care vor fi incluse în procesul de revizuire. Când auditul sistemului informatic este o parte din misiunea de audit financiar, evaluarea controalelor IT face parte dintr-un efort consistent atât de evaluare a controalelor, cât şi de evaluare a fiabilităţii datelor financiare raportate.

1.1.7 Revizuirea controalelor IT în cadrul misiunilor de audit financiar

Misiunile de audit financiar au un rol central în furnizarea unor informaţii financiare mai fiabile şi mai utile factorilor de decizie şi în perfecţionarea sistemului de control intern pentru a fi adecvat cu sistemele de management financiar. Controalele IT aferente mediului informatizat (controale IT generale) reprezintă un factor semnificativ în atingerea acestor scopuri şi în înţelegerea de către auditor a structurii controlului intern al entităţii. Aceste obiective de control trebuie luate în considerare pentru întregul ciclu de viaţă al sistemului. De asemenea, se va analiza modul în care aceste controale afectează eficacitatea sistemului de control intern al entităţii.

Structurarea obiectivelor de control pe criteriul domenii-procese-activităţi Cadrul de lucru COBIT reprezintă un referenţial atât pentru management, cât şi pentru auditori, oferind un set extins de 210 obiective de control pentru evaluarea controalelor generale IT, care se referă la toate activităţile legate de ciclul de viaţă al uni sistem informatic agregate în 34 de procese conţinute de cele patru domenii (Planificare&Organizare, Achiziţie&Implementare, Furnizare&Suport şi Monitorizare&Evaluare).

Structurarea obiectivelor de control pe criterii funcţionale Obiectivele de control conţinute de cadrul COBIT pot fi structurate pe criterii funcţionale în următoarele categorii de controale generale:

1. Managementul funcţiei IT; 2. Securitatea fizică şi controalele de mediu; 3. Securitatea informaţiei şi a sistemelor; 4. Continuitatea sistemelor; 5. Managementul schimbării şi al dezvoltării sistemului; 6. Auditul intern.

În efectuarea evaluării mediului informatizat, structurarea obiectivelor de control pe criterii funcţionale este mai accesibilă pentru auditori, întrucât conţine similitudini conceptuale cu abordările aferente altor tipuri de audit. Din acest considerent, o recomandăm pentru a fi adoptată în auditurile în medii informatizate desfăşurate de Curtea de Conturi. Prezentul ghid se raportează la această abordare, procedurile şi listele de verificare fiind proiectate şi prezentate pentru cele 6 secţiuni menţionate mai sus: Managementul funcţiei IT; Securitatea fizică şi controalele de mediu; Securitatea informaţiei şi a sistemelor; Continuitatea sistemelor; Managementul schimbării şi al dezvoltării sistemului; Auditul intern.

De o importanţă deosebită este revizuirea controalelor de aplicaţie care oferă informaţii importante despre funcţionarea şi securitatea aplicaţiei financiar-contabile şi ajută la formularea opiniei în legătură cu încrederea în datele şi rezultatele furnizate de sistemul informatic financiar-contabil, pentru misiunea de audit care se desfăşoară în mediul informatizat.

În cazul în care din evaluarea controalelor generale IT şi a controalelor de aplicaţie rezultă că sistemul nu pare a fi suficient de robust, auditorul trebuie să evalueze riscul

Pag. 13 din 180

funcţionării necorespunzătoare a sistemului asupra obiectivelor misiunii de audit financiar.

În cadrul entităţilor auditate, o categorie specială de controale IT se referă la conformitatea sistemului informatic cu cerinţele impuse de cadrul legislativ şi de reglementare. Cerinţele legislative şi de reglementare includ:

Legislaţia din domeniul finanţelor şi contabilităţii; Legislaţia privind protecţia datelor private şi legislaţia privind protecţia datelor

personale; Legislaţia privind utilizarea improprie a calculatoarelor, în sensul criminalităţii

informatice; Reglementări financiare şi bancare; Legile cu privire la proprietatea intelectuală.

1.1.8 Evaluarea riscurilor

Pentru acţiunile de control şi misiunile de audit, de o deosebită importanţă este identificarea riscurilor care rezultă din utilizarea unui sistem contabil bazat pe tehnologii informatice. Aceste riscuri măresc probabilitatea apariţiei unor prezentări semnificativ eronate în situaţiile financiare, fapt ce ar trebui luat în considerare de management şi de auditori.

Riscurile cheie specifice mediilor bazate pe tehnologii informatice sunt: dependenţa de funcţionarea echipamentelor şi programelor informatice, vizibilitatea pistei de audit, reducerea implicării factorului uman, erori sistematice versus erori incidentale, accesul neautorizat, pierderea datelor, externalizarea serviciilor IT/IS, lipsa separării sarcinilor, absenţa autorizării tradiţionale, lipsa de experienţă în domeniul IT. Aceste riscuri au la bază o serie de vulnerabilităţi tipice:

slaba implicarea a managementului; obiective neatinse sau îndeplinite parţial; iniţiative nefundamentate corespunzător; sisteme interne de control organizate sau conduse necorespunzător; controale fizice şi de mediu slabe care generează pierderi importante cauzate de

calamităţi naturale, furturi, etc.; lipsa încrederii în tehnologia informaţiei; lipsa de interes faţă de planificarea continuităţii sistemului (proceduri de salvare a

datelor, securitatea sistemului informatic, recuperarea în caz de dezastru); calitatea necorespunzătoare a serviciilor furnizate utilizatorilor sistemului; cheltuieli nejustificate: intranet, Internet, resurse umane; costuri şi depăşiri semnificative ale termenelor; existenţa unor reclamaţii, observaţii, contestaţii.

Descrierea riscurilor identificate de auditorii publici externi trebuie să includă informaţii privind cauzele şi impactul posibil al acestora, precum şi nivelul de risc (mic, mediu sau mare) evaluat de auditorul public extern pe baza raţionamentului profesional. Ca instrument de lucru se poate utiliza matricea prezentată în Tabelul 1. Conţinutul ariilor de risc este detaliat în Anexa 4.

Pag. 14 din 180

Tabelul 1

Descrierea riscurilor

Arii de Risc

Ameninţări Vulnerabilităţi Probabilitate de apariţie

Impact

Evenimente nedorite

Slăbiciuni ale controalelor IT

% Major (Mare) Mediu Scăzut (Mic)

Dependenţa de sistemul informatic

_ _ ...

Resurse şi cunoştinţe IT _ _ ...

Încrederea în sistemul informatic

_ _ ...

Schimbările în sistemul informatic

_ _ ...

Externalizarea serviciilor de tehnologia informaţiei

_ _ ...

Focalizarea pe activitate _ _ ...

Securitatea informaţiei şi a sistemului

_ _ ...

Managementul tehnologiei informaţiei

_ _ ...

Pag. 15 din 180

1.1.9 Tehnici şi metode de audit

Metodele şi tehnicile utilizate pentru colectarea informaţiilor pe parcursul misiunii de audit sunt:

o Prezentări în cadrul unor discuţii cu reprezentanţii managementului entităţii auditate;

o Realizarea de interviuri cu persoane cheie implicate în coordonarea, monitorizarea, administrarea, întreţinerea şi utilizarea sistemului informatic;

o Utilizarea chestionarelor şi machetelor şi listelor de verificare; o Examinarea unor documentaţii tehnice, economice, de monitorizare şi de

raportare: grafice de implementare, corespondenţă, rapoarte interne, situaţii de raportare, rapoarte de stadiu al proiectului, registre de evidenţă, documentaţii de monitorizare a utilizării, contracte, sinteze statistice, metodologii, standarde;

o Participarea la demonstraţii privind utilizarea sistemului ; o Utilizarea tehnicilor şi instrumentelor de audit asistat de calculator (IDEA sau alte

aplicaţii realizate în acest scop); o Inspecţii în spaţiile alocate serverelor şi staţiilor de lucru; o Inspecţii în spaţiile alocate depozitelor de date sau locaţiilor de depozitare a

copiilor de back-up; o Consultarea legislaţiei aferente tematicii; o Documentarea pe Internet în scopul informării asupra unor evenimente,

comunicări, evoluţii legate de sistemul IT sau pentru consultarea unor documentaţii tehnice.

1.1.10 Colectarea, inventarierea şi documentarea probelor de audit

Colectarea şi inventarierea probelor de audit se referă la constituirea fondului de date în format electronic şi/sau în format tipărit, pe baza machetelor, chestionarelor şi a listelor de verificare completate, precum şi la organizarea şi stocarea acestora.

Natura probelor de audit este dependentă de scopul auditului şi de modelul de auditare utilizat. Deşi modelele de auditare pot diferi în ceea ce priveşte detaliile, ele reflectă şi acoperă cerinţa comună de a furniza o asigurare rezonabilă că obiectivele şi criteriile impuse în cadrul unei misiuni de audit (de exemplu, audit financiar) sunt satisfăcute. Procedurile de obţinere a probelor de audit sunt: interogarea, observarea, inspecţia, confirmarea, reconstituirea traseului tranzacţiei şi a prelucrărilor (parcurgerea fluxului informaţional şi de prelucrare) şi monitorizarea.

Obţinerea probelor de audit şi înscrierea acestora în documentele de lucru reprezintă activităţi esenţiale ale procesului de audit. Documentele de lucru se întocmesc pe măsura desfăşurării activităţilor din toate etapele auditului. Documentele de lucru trebuie să fie întocmite şi completate cu acurateţe, să fie clare şi inteligibile, să fie lizibile şi aranjate în ordine, să se refere strict la aspectele semnificative, relevante şi utile din punctul de vedere al auditului. Aceleaşi cerinţe se aplică şi pentru documentele de lucru utilizate în format electronic.

Documentarea corespunzătoare a activităţii de audit are în vedere următoarele considerente:

Confirmă şi susţine opiniile auditorilor exprimate în raportul de audit;

Pag. 16 din 180

Îmbunătăţeşte performanţa activităţii de audit; Constituie o sursă de informaţii pentru pregătirea raportului de audit sau pentru a

răspunde oricăror întrebări ale entităţii auditate sau ale altor părţi interesate; Constituie dovada respectării de către auditor a standardelor şi a manualului de

audit; Facilitează monitorizarea auditului; Furnizează informaţii privind expertiza în audit.

Documentele de lucru, elaborate în format tipărit, vor fi organizate în dosare, iar documentele elaborate în format electronic vor fi organizate în colecţii de fişiere şi/sau baze de date. Documentele trebuie să fie prezentate într-o manieră inteligibilă, coerentă, consistentă cu obiectivele auditului.

Pentru descrierea sistemelor entităţii auditate se utilizează următoarele tipuri de documente: diagrame de tip flowchart, prezentări narative, machete, chestionare şi liste de verificare. Alegerea acestor tehnici variază în funcţie de practicile locale de audit, de preferinţa personală a auditorului şi de complexitatea sistemelor auditate.

1.1.11 Formularea constatărilor şi recomandărilor

Evaluarea şi revizuirea sistemului informatic se fac prin analiza constatărilor rezultate şi interpretarea acestora. În funcţie de impactul pe care îl au neconformităţile constatate, se formulează recomandări pentru remedierea acestora şi reducerea nivelului riscurilor. Aceste recomandări reflectă opiniile auditorului asupra entităţii auditate prin prisma obiectivelor misiunii de audit. Sintetic, constatările se vor referi la următoarele aspecte: evaluarea complexităţii sistemelor informatice, evaluarea generală a riscurilor entităţii în cadrul mediului IT, evaluarea riscurilor în cadrul fiecărei aplicaţii, precum şi un punct de vedere al auditorului privind fezabilitatea unui demers de audit bazat pe controale.

1.1.12 Elaborarea raportului de audit

Raportarea are ca scop punerea în evidenţă a punctelor slabe ale controalelor, identificate de auditor şi aducerea lor la cunoştinţa entităţii auditate prin intermediul raportului de audit şi al unei scrisori care conţine sinteza principalelor constatări şi recomandări.

Raportul de audit identifică aria de cuprindere, obiectivele, perioada, planificarea în timp şi aria de acoperire ale activităţii de auditare efectuate.

Raportul de audit este elaborat de auditorii publici externi pentru fiecare misiune de audit şi va include cele mai semnificative constatări, recomandări şi concluzii care au rezultat în cadrul misiunii de audit cu privire la stadiul şi evoluţia implementării şi utilizării sistemelor informatice existente în entitatea auditată. Raportul va include, de asemenea, opinia auditorilor cu privire la natura şi extinderea punctelor slabe ale controlului intern în cadrul entităţii auditate şi impactul posibil al acestora asupra activităţii entităţii.

Raportul de audit al sistemelor informatice trebuie să fie obiectiv şi corect, să cuprindă toate constatările relevante, inclusiv cele pozitive, să fie constructiv şi să prezinte concluziile şi recomandările formulate de echipa de audit. În situaţia în care pe parcursul misiunii de audit se constată: erori / abateri grave de la legalitate şi regularitate, fapte pentru care există indicii că au fost săvârşite cu încălcarea

Pag. 17 din 180

legii penale sau nerealizarea obiectivelor propuse de entitate în legătură cu programul / procesul/activitatea auditat(ă) datorită nerespectării principiilor economicităţii, eficienţei şi eficacităţii în utilizarea fondurilor publice şi în administrarea patrimoniului public şi privat al statului/unităţilor administrativ-teritoriale, se întocmesc proces verbal de constatare, precum şi celelalte tipuri de acte prevăzute la pct. 354 din Regulamentul privind organizarea şi desfăşurarea activităţilor specifice Curţii de Conturi, precum şi valorificarea actelor rezultate din aceste activităţi, aceste acte constituind anexe la raportul de audit al sistemelor informatice.

Detaliile referitoare la aspectele metodologice privind raportul de audit se regăsesc în Manualul de audit al sistemelor informatice (CCR, 2012)

1.2 Probleme de audit asociate cu utilizarea sistemelor IT / IS

Auditul sistemelor/serviciilor informatice3 reprezintă o activitate de evaluare a sistemelor informatice prin prisma optimizării gestiunii resurselor informatice disponibile (date, aplicaţii, tehnologii, facilităţi, resurse umane, etc.), în scopul atingerii obiectivelor entităţii, prin asigurarea unor criterii specifice: eficienţă, confidenţialitate, integritate, disponibilitate, siguranţă în funcţionare şi conformitate cu un cadru de referinţă (standarde, bune practici, cadru legislativ, etc.).

Prin utilizarea sistemelor informatice, se modifică abordarea auditului (care se desfăşoară în medii informatizate) datorită noilor modalităţi de prelucrare, stocare şi prezentare a informaţiilor, furnizate de aplicaţiile informatice, fără a schimba însă obiectivul general şi scopul auditului.

Procedurile tradiţionale de colectare a datelor şi de interpretare a rezultatelor utilizate de auditorii financiari sunt înlocuite, total sau parţial, cu proceduri informatizate. Existenţa sistemului informatic poate afecta sistemele interne de control utilizate de entitate, modalitatea de evaluare a riscurilor, performanţa testelor de control şi a procedurilor de fond utilizate în atingerea obiectivului auditului.

Cu toate că prezenţa tehnologiei informaţiei nu modifică obiectivele fundamentale ale auditului, prin specificul lor, sistemele informatice pot influenţa opinia auditorului cu privire la risc sau pot impune ca auditorul să adopte o abordare diferită a misiunii de audit. Principalele aspecte implicate de auditarea în mediul informatizat, care pot induce ambiguităţi sau erori pe parcursul auditului, sunt:

(a) se poate permite anonimatul prin depersonalizarea utilizatorului şi, implicit, se pot induce confuzii cu privire la răspundere;

(b) se pot permite modificări neautorizate sau neautentificate ale datelor contabile; (c) se poate permite duplicarea intrărilor sau a prelucrărilor; (d) sistemele informatice sunt vulnerabile la accesul de la distanţă şi neautorizat; (e) se pot ascunde sau se pot face invizibile unele procese;

3 În funcţie de problematica referită, în cadrul prezentului document se folosesc şi variantele distincte audit

IT/audit IS, cu semnificaţia corespunzătoare, respectiv auditul arhitecturilor şi infrastructurilor IT (hardware, software, comunicaţii şi alte facilităţi utilizate pentru introducerea, memorarea, prelucrarea, transmiterea şi ieşirea datelor, în orice formă), precum şi auditul sistemelor, aplicaţiilor şi serviciilor informatice.

Pag. 18 din 180

(f) se poate şterge sau ascunde pista de audit (traseul tranzacţiilor); (g) se pot difuza date, în mod neautorizat, în sistemele distribuite; (h) aplicaţiile pot fi operate de contractanţi externi, care utilizează standarde şi controale proprii sau pot altera informaţiile în mod neautorizat.

În cazul auditului unui sistem informatic care furnizează informaţii relevante pentru o misiune de audit financiar, evaluarea sistemului informatic se efectuează în scopul furnizării unei asigurări rezonabile privind funcţionarea sistemului, necesare auditului financiar la care este supusă entitatea.

În cazul în care informaţiile necesare auditului sunt furnizate de aplicaţii sau sisteme complexe, este necesară consultarea sau participarea în cadrul echipei de audit a unui specialist care posedă cunoştinţe şi aptitudini specializate în domeniul auditului sistemelor informatice, pentru a evalua sistemul. De asemenea, va colabora cu auditorii în scopul înţelegerii semnificaţiei şi complexităţii procedurilor informatice, a prelucrării datelor furnizate de sistemul informatic, precum şi pentru înţelegerea sistemului de control intern, în scopul planificării şi abordării auditului, adecvate la noile tehnologii şi va formula recomandări privind punctele slabe ale sistemului informatic, în vederea remedierii anomaliilor constatate. Evaluarea va avea ca rezultat formularea unei opinii privind încrederea pe care o asigură sistemul informatic, în condiţiile utilizării sale ca sursă de informaţii sau ca suport pentru audit (programe de audit asistat de calculator), în cadrul misiunii de audit.

Complexitatea sistemului informatic este conferită de o serie de caracteristici relative la: volumul tranzacţiilor, procedurile de validare a datelor sau a transferurilor de date între aplicaţii, generarea automată a tranzacţiilor, comunicaţia cu alte aplicaţii sau sisteme informatice, complexitatea algoritmilor de calcul, utilizarea unor informaţii provenite din surse de date externe (existente la alte entităţi) fără validarea acestora.

Un mediu informatizat poate oferi auditorilor posibilitatea unor prelucrări adiţionale, prin furnizarea informaţiilor solicitate în formate cerute de auditor, în scopul interpretării sau al utilizării ca date de intrare pentru programe specializate de audit asistat de calculator. Acest mod de lucru contribuie la creşterea performanţei în efectuarea testelor de fond, prin aplicarea unor proceduri analitice automatizate, precum şi a performanţei procedurilor de audit, prin utilizarea tehnicilor de audit asistat de calculator.

Sistemele informatice au unele caracteristici inerente care pot afecta atât abordarea auditului, cât şi evaluarea efectuată de auditor cu privire la riscul de audit. Unele caracteristici ale sistemului informatic sporesc acest risc şi reclamă o atenţie specială din partea auditorului. Dintre acestea, cele mai importante sunt4: stabilirea răspunderii, vulnerabilitatea la modificări, uşurinţa copierii, riscurile accesului de la distanţă, procesare invizibilă, existenţa unui parcurs al auditului, distribuirea datelor, încrederea în prestatorii de servicii IT, utilizarea înregistrărilor furnizate de calculator ca probă de audit.

4 Detalii în Manualul de audit al sistemelor informatice (CCR, 2012)

Pag. 19 din 180

1.3 Evaluarea sistemelor informatice financiar-contabile

În conformitate cu standardul ISA 400, “Evaluarea Riscului şi Controlului Intern”, auditorul va analiza dacă mediul de control şi procedurile de control aplicate de entitate activităţilor proprii desfăşurate în mediul informatizat, în măsura în care acestea sunt relevante pentru aserţiunile situaţiilor financiare, este un mediu sigur. În cazul sistemelor informatice, atunci când procedurile sunt automatizate, când volumul tranzacţiilor este mare sau când probele electronice nu pot fi urmărite pe tot parcursul fluxului de prelucrare, auditorul poate decide că nu este posibil să reducă riscul de audit la un nivel acceptabil decât prin utilizarea testelor detaliate de audit. În astfel de cazuri sunt frecvent utilizate tehnici de audit asistat de calculator.

De asemenea, pentru sistemele informatice financiar-contabile sunt deosebit de importante următoarele aspecte ale controlului intern: (a) menţinerea integrităţii procedurilor de control în mediul informatizat şi (b) asigurarea accesului la înregistrări relevante pentru a satisface necesităţile entităţii, precum şi în scopul auditului.

Auditorul va analiza exhaustivitatea, acurateţea şi autorizarea informaţiilor furnizate pentru înregistrarea şi procesarea înregistrărilor financiare ale entităţii (integritatea tranzacţiei). Natura şi complexitatea aplicaţiilor influenţează natura şi amploarea riscurilor referitoare la înregistrarea şi procesarea tranzacţiilor electronice.

Procedurile de audit referitoare la integritatea informaţiei, aferente tranzacţiilor electronice, se axează în mare parte pe evaluarea credibilităţii sistemelor utilizate pentru prelucrarea tranzacţiilor. Utilizarea serviciilor informatice iniţiază, în mod automat, alte secvenţe de prelucrare a tranzacţiei faţă de sistemele tradiţionale. Procedurile de audit pentru sistemele informatice trebuie să se concentreze asupra controalelor automate referitoare la integritatea tranzacţiilor, pe măsură ce acestea sunt înregistrate şi apoi procesate imediat.

Într-un mediu informatic, controalele referitoare la integritatea tranzacţiei sunt în majoritatea cazurilor proiectate pentru a asigura, printre altele: validarea intrărilor şi prevenirea duplicării sau a omiterii tranzacţiilor.

În general, tranzacţiile electronice nu au asociate înregistrări scrise şi pot fi mult mai uşor de distrus sau de alterat decât cele scrise, fără a lăsa nici o urmă a distrugerii sau alterării. Auditorul trebuie să stabilească dacă politicile de securitate a informaţiei şi controalele de securitate ale entităţii sunt implementate adecvat pentru prevenirea modificărilor neautorizate ale înregistrărilor contabile, ale sistemului contabil sau ale sistemelor care furnizează date sistemului contabil. Aceasta se poate realiza prin testarea controalelor automate, cum ar fi verificările de integritate a datelor, ştampile de dată electronică, semnături digitale şi controale de versiune în vederea stabilirii autenticităţii şi integrităţii probelor electronice. În funcţie de estimările cu privire la aceste controale, auditorul poate considera necesară efectuarea unor proceduri suplimentare, cum ar fi confirmarea detaliilor tranzacţiilor sau a soldurilor conturilor cu terţe părţi5.

Utilizatorii sistemului informatic sunt, implicit, anonimi. Sistemele care nu pot identifica şi înregistra acţiunile utilizatorilor individuali nu pot să-i facă ulterior răspunzători de acţiunile lor. Utilizatorii sunt mult mai înclinaţi să efectueze activităţi informatice neautorizate daca nu pot fi identificaţi şi făcuţi răspunzători.

5 ISA 505 - Confirmări Externe

Pag. 20 din 180

Riscul procesării de tranzacţii neautorizate poate fi redus prin prezenţa unor controale care identifică utilizatorii individuali şi întreprind acţiuni de contracarare a eventualelor acţiuni ostile ale acestora. Riscul poate fi redus prin obligativitatea autentificării la accesarea sistemului şi prin introducerea unor controale suplimentare, sub formă de semnături electronice.

Având în vedere faptul că datele tranzacţiilor electronice se regăsesc într-o formă intangibilă pe diverse medii de stocare, acestea pot fi modificate fără a lăsa nici o urmă. Auditorii trebuie să evalueze existenţa şi eficacitatea controalelor care previn efectuarea de modificări neautorizate. Controale neadecvate pot conduce la situaţia în care auditorul să nu poată acorda încredere înregistrărilor din calculatoare sau integrităţii pistei de audit (traseului tranzacţiilor).

Programul de aplicaţie şi datele tranzacţiei trebuie să fie protejate faţă de modificări neautorizate prin utilizarea de controale adecvate ale accesului fizic şi logic.

Plăţile prin calculator, ca şi transferurile electronice de fonduri, sunt mult mai uşor de modificat decât instrumentele de plată pe hârtie şi de aceea trebuie sa aibă o protecţie adecvată. Integritatea tranzacţiilor electronice poate fi protejată prin tehnici precum criptarea datelor, semnături electronice sau prin utilizarea unui algoritm de dispersare a datelor.

Dacă datele au valoare financiară, prevenirea dublării tranzacţiilor prin copiere este în mod deosebit importantă. Sistemele utilizatorului trebuie să încorporeze controale care să detecteze şi să prevină procesarea de tranzacţii duble. Controalele pot include atribuirea de numere secvenţiale tranzacţiilor şi verificarea de rutină a totalurilor de control.

Fişierele pe hârtie pot fi uşor protejate faţă de accesul neautorizat prin implementarea unor controale ale accesului fizic. Mijloace similare de protecţie pot fi utilizate pentru protecţia dispozitivelor de stocare a datelor (CD-ROM, benzi magnetice şi dischete). Dacă datele sunt accesibile pe o reţea de calculatoare, atunci apare un grad de incertitudine cu privire la cine are acces la software şi la fişierele de date. Conectarea sistemelor de calculatoare la reţeaua globală Internet măreşte substanţial riscul de acces neautorizat de la distanţă şi de atacuri cu viruşi sau alte forme de alterare a informaţiei sau de distrugere a unor sisteme informatice. Protejarea reţelelor conectate la Internet poate fi dificil de realizat şi necesită controale de nivel înalt, specializate.

Unele sisteme de operare asigură controale ale accesului care limitează capacitatea utilizatorilor de la distanţă să vadă, să modifice, să şteargă sau să creeze date. Controalele de acces ale sistemului de operare pot fi mărite prin controale suplimentare de identificare şi autorizare în cadrul fiecărei tranzacţii. În ambele cazuri, eficacitatea controalelor de acces depinde de proceduri de identificare şi autentificare şi de o bună administrare a sistemelor de securitate.

Procesarea tranzacţiilor care are loc în interiorul calculatorului este invizibilă pentru auditor. Auditorii pot vedea ceea ce intră şi ceea ce iese, dar au puţine informaţii cu privire la ceea ce se întâmplă pe parcurs. Această slăbiciune poate fi exploatată de programe neautorizate ascunse în programele autorizate. Ameninţarea modificărilor neautorizate poate fi redusă prin adoptarea de proceduri adecvate de control al modificărilor, inclusiv controale eficiente de acces, activarea şi revizuirea jurnalelor de operaţii, precum şi o separare eficientă a sarcinilor între actorii implicaţi în sistem.

Pag. 21 din 180

În cazul tranzacţiilor electronice, în care pista de audit (parcursul tranzacţiilor) se reconstituie din înregistrări stocate pe un calculator, auditorul trebuie să se asigure că datele privind tranzacţiile sunt păstrate un timp suficient şi că au fost protejate faţă de modificări neautorizate. Capacitatea limitată de stocare a unor calculatoare poate restricţiona cantitatea de date istorice aferente tranzacţiilor care trebuie păstrate. În aceste cazuri, auditorul trebuie să impună arhivarea regulată a evidenţelor contabile şi acestea să fie păstrate într-un mediu sigur. Auditorul poate, de asemenea, să analizeze impactul posibil al regulilor de arhivare a datelor organizaţiei atunci când planifică auditul. Calculatoarele în reţea au capacitatea de a stoca aplicaţii financiare şi fişiere de date pe orice dispozitive de stocare din reţea. Auditorul se poate afla în faţa unui sistem care rulează o aplicaţie financiară pe un calculator şi stochează fişierele cu tranzacţii procesate pe un calculator din altă sală, din altă clădire sau chiar din altă ţară. Procesarea datelor distribuite complică evaluarea de către auditor a controalelor de acces fizic şi logic. Mediul de control poate fi foarte bun într-un anumit loc, dar foarte slab în alt loc, iar eterogenitatea mediului informatizat creşte riscul de audit.

Principiile referitoare la probele de audit nu se schimbă datorită faptului că auditul se realizează într-un mediu informatizat. Înregistrările din calculator furnizează auditorului o asigurare de audit. Auditorul poate, de asemenea, să genereze probe de audit utilizând tehnicile de audit asistat de calculator.

O problemă deosebit de importantă generată de mediul informatizat o constituie admisibilitatea înregistrărilor din calculator la o instanţă de judecată. Din studiul literaturii de specialitate, rezultă că sunt puţine precedente care să ilustreze acest fapt. În cazurile în care probele informatice au fost depuse în acţiuni judecătoreşti, instanţele au luat în considerare o expertiză cu privire la eficienţa mediului de control IT, înainte de a evalua fiabilitatea datelor informatice. Auditorul va avea în vedere faptul că tranzacţiile sau imaginile de documente provenind de la calculator pot să nu fie admisibile ca probe în justiţie dacă nu se poate demonstra că există controale destul de puternice care să înlăture dubiul rezonabil privind autenticitatea şi integritatea datelor conţinute în sistem. În ceea ce priveşte tranzacţiile electronice, aceste controale sunt deosebit de complexe.

Evaluarea sistemelor IT cuprinde trei părţi:

A – Colectarea informaţiilor de fond privind sistemele IT ale entităţii auditate permite auditorului cunoaşterea sistemelor IT hardware şi software ale acesteia, precum şi a nivelului resurselor umane implicate în activităţi IT. Informaţiile privind dimensiunea, tipul şi complexitatea tehnică a sistemelor informatice permit auditorilor să evalueze dacă este necesar sprijinul unui auditor IT specialist. De asemenea, auditorul va identifica sistemele financiare în curs de dezvoltare, care necesită, în continuare, implicarea acestuia în formularea de cerinţe privind unele facilităţi de audit care să fie incluse în noua versiune. Colectarea informaţiilor de fond privind sistemele IT ale entităţii auditate trebuie să fie finalizată înainte ca auditorul să realizeze o evaluare a mediului de control IT sau a procedurilor de control ale aplicaţiei.

B – Evaluarea mediului de control IT şi evaluarea riscului entităţii este utilizată pentru a evalua controalele şi procedurile care operează în cadrul

Pag. 22 din 180

mediului de control IT. Punctele slabe identificate în mediul de control IT pot submina eficacitatea procedurilor de control în cadrul fiecărei aplicaţii financiare.

C – Evaluarea controalelor aplicaţiei şi evaluarea riscului zonei contabile: auditorul trebuie să efectueze evaluarea controalelor aplicaţiei şi evaluarea riscului zonei contabile pentru a examina procedurile de control, sistemele de control intern şi riscurile de audit în cadrul fiecărei aplicaţii financiar-contabile.

1.3.1 Informaţii de fond privind sistemele IT / IS ale entităţii auditate

Prima parte a evaluării sistemelor informatice se referă la colectarea informaţiilor de fond privind sistemele IT ale entităţii auditate. Această etapă va trebui să fie finalizată înainte de evaluarea detaliată a controalelor IT, întrucât contribuie la cunoaşterea sistemului de către auditor care, pe baza informaţiilor colectate, va realiza analiza mediului de control IT şi a controalelor aplicaţiei.

Pe baza acestei analize, auditorul obţine o înţelegere preliminară a situaţiei cu care va fi confruntat pe parcursul evaluării IT. De asemenea, sunt furnizate indicaţii cu privire la documentaţiile tehnice care trebuie consultate înainte de vizitarea entităţii auditate, de exemplu documentaţii privind sistemele de operare şi aplicaţiile de contabilitate.

În funcţie de concluziile acestei etape, referitoare la configuraţia şi complexitatea sistemului care face obiectul auditului, auditorul poate să stabilească dacă este oportun sau nu să implice specialişti în audit IT în echipa de audit. Factorii care vor afecta această decizie includ:

abilităţile şi experienţa IT a auditorului – auditorii nu trebuie să realizeze evaluări IT dacă consideră că nu au abilităţile necesare sau experienţa necesară;

dimensiunea (volumul) operaţiilor entităţii auditate – operaţiile informatice de volume mari tind să fie mai complexe atât în ceea ce priveşte sistemele propriu-zise, cât şi din punctul de vedere al structurilor organizatorice;

complexitatea tehnică a echipamentului IT şi a reţelei – sistemele mai complexe, care încorporează tehnologii noi, vor necesita asistenţa specialiştilor IT pentru a identifica şi a evalua riscurile de audit;

cazul în care utilizatorii sistemului dezvoltă şi utilizează aplicaţii sau au capacitatea de a modifica pachetele contabile standard – în general, există un risc crescut de audit în situaţia în care utilizatorii dezvoltă sau personalizează aplicaţiile contabile. În multe cazuri, se personalizează aplicaţii contabile sau structuri de date (extrase din bazele de date ale sistemului), pentru a satisface unele cerinţe ale auditorului;

antecedente de probleme IT – în cazul în care auditorii au avut în trecut probleme cu sistemele IT ale entităţii auditate, de exemplu, unde există antecedente legate de erori ale utilizatorului, greşeli de programare, fraudă informatică sau încălcări grave ale securităţii;

cazul în care sistemele informatice sau tranzacţiile pe care le procesează furnizează informaţii sensibile – implică ameninţări crescute;

sisteme în curs de dezvoltare – auditorul poate fi solicitat să formuleze puncte de vedere cu privire la specificaţiile şi planurile de implementare ale noilor sisteme financiare.

Pag. 23 din 180

În etapa de colectare a informaţiilor de fond privind sistemele IT ale entităţii auditate, sunt furnizate de asemenea detalii administrative, referitoare la personalul din cadrul departamentelor financiar-contabil şi IT ale entităţii auditate.

1.3.2 Controale IT generale

Controlul este definit ca totalitatea politicilor, procedurilor, practicilor şi a structurilor organizaţionale proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele afacerii vor fi atinse şi evenimentele nedorite vor fi prevenite sau detectate şi corectate.

Controalele pot fi materializate sub următoarele forme sau acţiuni: Afirmaţii declarative ale managementului privind creşterea valorii, reducerea

riscului, securitatea; Politici, proceduri, practici şi structuri organizaţionale; Sunt concepute spre a asigura in mod acceptabil faptul că obiectivele afacerii vor fi

atinse şi evenimentele nedorite vor fi prevenite sau detectate şi corectate; Managementul organizaţiei trebuie să facă unele alegeri privind obiectivele de

control: selectarea obiectivelor care sunt aplicabile, decizia privind controalele care vor fi puse în practică;

Alegerea modului de a implementa controalele (frecvenţă, durată, grad de automatizare etc.);

Acceptarea riscului neimplementării controalelor aplicabile.

Cerinţele obiectivelor de control sunt de a defini: scopurile şi obiectivele proceselor; răspunderea privind procesul; repetabilitatea procesului; rolurile şi responsabilitaea; politici, planuri şi proceduri; îmbunătăţirea performanţei procesului. Implementarea unor controale eficace reduce riscul, creşte probabilitatea obţinerii de valoare şi îmbunătăţeşte eficienţa prin diminuarea numărului de erori şi printr-o abordare managerială consistentă.

Controalele IT generale se referă la infrastructura IT a entităţii auditate, la politicile IT aferente, la procedurile şi practicile de lucru. Acestea trebuie să se concentreze, din punctul de vedere al auditorului, pe procesele specifice departamentului IT sau ale compartimentului cu atribuţii similare şi nu sunt specifice pachetelor de programe sau aplicaţiilor.

În cadrul evaluării controalelor de nivel înalt, adoptate de management pentru a se asigura că sistemele informatice funcţionează corect şi satisfac obiectivele afacerii, auditorul poate determina dacă activităţile IT sunt controlate adecvat iar controalele impuse de entitatea auditată sunt suficiente. În cadrul evaluării este necesară examinarea următoarelor aspecte:

Detectarea riscurilor asociate controalelor de management neadecvate; Structura organizaţională IT; Strategia IT şi implicarea managementului de vârf; Politici de personal şi de instruire; Documentaţie şi politici de documentare (politici de păstrare a

documentelor); Politici de externalizare; Implicarea auditului intern; Politici de securitate IT; Conformitatea cu reglementările în vigoare; Separarea atribuţiilor.

Pag. 24 din 180

Politicile IT de nivel înalt, procedurile şi standardele sunt foarte importante în stabilirea unui cadru de control intern adecvat. Auditorul trebuie să fie capabil să identifice componentele controlului intern, aferente mediului informatizat, fiecare având obiective diferite:

Controale operaţionale: funcţii şi activităţi care asigură că activităţile operaţionale contribuie la obiectivele afacerii;

Controale administrative: asigură eficienţa şi conformitatea cu politicile de management, inclusiv controalele operaţionale.

Controalele de aplicaţie;

Obiectivele de control aferente mediului informatizat se axează pe: evaluarea calităţii managementului, securitatea fizică şi controalele de mediu, securitatea informaţiei şi a sistemului IT, continuitatea sistemului, managementul schimbării şi al dezvoltării sistemului, funcţionalitatea aplicaţiilor, calitatea auditului intern cu privire la sistemul IT.

Există unele considerente speciale care trebuie avute în vedere atunci când se realizează evaluarea controalelor IT:

examinarea iniţială a sistemelor IT ale entităţii auditate se realizează pe zone contabile diferite, tranzacţiile procesate de o aplicaţie putând parcurge diverse fluxuri de prelucrare în cadrul sistemului IT, fiecare dintre acestea fiind supusă unor riscuri de audit diferite.

importanţa sistemelor informatice în raport cu producerea situaţiilor financiare şi cu contribuţia la obiectivele afacerii.

aplicabilitatea şi oportunitatea auditului bazat pe/asistat de calculator. Aceasta va permite identificarea procedurilor de control ale aplicaţiei şi o evaluare iniţială a oportunităţii lor.

relaţia controalelor IT cu mediul general de control. Se va avea în vedere ca existenţa controalelor manuale, care diminuează punctele slabe ale sistemului IT, să fie luată integral în considerare.

Evaluarea mediului de control IT

Evaluarea controalelor IT generale vizează identificarea punctelor tari, a punctelor slabe şi a riscurilor în cadrul mediului general de control IT. Riscurile identificate în mediul general de control IT pot atenua eficienţa controalelor în aplicaţiile care se bazează pe acestea şi deci pot fi descrise ca riscuri la nivelul entităţii. Evaluarea IT va fi utilizată de auditor pentru a identifica extinderea şi natura riscurilor generale de audit IT asociate cu utilizarea de către entitatea auditată a sistemelor informatice în domeniul financiar-contabil.

Evaluarea începe cu examinarea cadrului procedural implementat de entitatea auditată, care va permite auditorului să formuleze un punct de vedere relativ la oportunitatea strategiei IT, a managementului, auditului intern şi politicilor de securitate ale acesteia. Răspunsurile la întrebările adresate în cadrul interviurilor vor da auditorului o vedere preliminară rezonabilă asupra mediului de control IT. Experienţa a arătat că entităţile cu reguli IT puţine sau necorespunzătoare nu sunt în măsură să aibă un mediu de control intern adecvat.

Analiza include, de asemenea, o evaluare a controalelor generale în cadrul departamentului IT, referitoare la configuraţia hardware, software şi de comunicaţii, precum şi la resursele umane care au atribuţii în domeniul IT: controlul privind accesul

Pag. 25 din 180

fizic, controlul privind accesul logic, controlul operaţional, procedurile de management al schimbărilor, planificarea recuperării după dezastru, utilizarea de prestatori externi de servicii IT, controlul asupra aplicaţiilor dezvoltate şi rulate de utilizatorii înşişi, separarea sarcinilor.

Punctele slabe identificate în mediul general de control IT vor influenţa eficacitatea tuturor controalelor din cadrul aplicaţiilor care rulează pe configuraţia respectivă. De exemplu, auditorul va acorda puţină încredere controalelor de intrare pentru o tranzacţie rulată de aplicaţie în situaţia în care baza de date suport a fost neprotejată faţă de modificările neautorizate.

Odată finalizată, analiza va permite auditorului să facă o evaluare a riscurilor în cadrul mediului general de control IT al entităţii auditate. În general, pentru o entitate cu un mediu de control IT insuficient, evaluarea riscurilor IT va conduce în mod normal la o concluzie de risc înalt de audit. Dacă mediul general de control IT este evaluat ca insuficient, poate fi încă posibil să se acorde o oarecare încredere controalelor de compensare sau controalelor foarte puternice în cadrul aplicaţiilor. Este de asemenea posibil ca o aplicaţie financiară să aibă controale foarte slabe cu toate că mediul de control IT suport are controale puternice.

1.3.3 Evaluarea aplicaţiei şi evaluarea riscurilor zonei contabile

Controalele de aplicaţie

Aplicaţiile reprezintă unul sau mai multe programe de calculator care realizează o funcţionalitate orientată către un scop precizat. Aplicaţiile pot fi dezvoltate special pentru o organizaţie, respectiv sisteme la comandă, sau pot fi cumpărate sub formă de pachete/ soluţii software de la furnizorii externi.

Cele mai răspândite pachete de aplicaţii întâlnite de auditorii financiari sunt: pachete integrate de contabilitate, sisteme de state de plată, de personal, de pensii, registre de active fixe, sisteme de management al împrumuturilor nerambursabile.

Toate aplicaţiile financiare trebuie să conţină controale proprii care să asigure integritatea, disponibilitatea şi confidenţialitatea, atât a datelor tranzacţiilor, cât şi a datelor permanente. În realitate, sistemele nu conţin toate controalele posibile pentru fiecare componentă. Entitatea trebuie să evalueze riscurile pentru fiecare aplicaţie şi să aibă implementate controale adecvate, eficiente din punct de vedere al costurilor pentru a reduce riscurile la un nivel acceptabil. Acest principiu trebuie avut în vedere când se formulează recomandările auditului.

Controalele de aplicaţie sunt particulare pentru o aplicaţie şi pot avea un impact direct asupra prelucrării tranzacţiilor individuale.

Ele se referă, în general, la acele controale incluse în aplicaţie pentru a asigura că numai tranzacţiile valide sunt prelucrate şi înregistrate complet şi corect în fişierele aplicaţiei, precum şi la controalele manuale care operează în corelaţie cu aplicaţia.

O mare parte a controalelor de aplicaţii sunt versiuni automatizate ale controalelor manuale. De exemplu, autorizarea prin intermediul calculatorului de către supervizor este similară cu utilizarea semnăturii pe documente tipărite.

Pag. 26 din 180

Există şi controale de aplicaţie manuale, cum ar fi: analiza formatelor rapoartelor de ieşire, inventarierea situaţiilor de ieşire, etc..

Controalele de aplicaţie sunt proceduri specifice de control asupra aplicaţiilor, care furnizează asigurarea că toate tranzacţiile sunt autorizate şi înregistrate, prelucrate complet, corect şi la termenul stabilit. Controalele de aplicaţie pot fi constituite din proceduri manuale efectuate de utilizatori (controale utilizator) şi din proceduri automate sau controale efectuate de produse software.

Încrederea în controalele de aplicaţie

În etapa de cunoaştere a entităţii, când sunt colectate informaţiile de fond despre sistemul IT, auditorul trebuie să obţină o înţelegere suficientă a sistemului pentru a determina dacă sistemul de control intern este de încredere şi furnizează informaţii corecte despre acurateţea înregistrărilor. În cazul în care sistemul nu pare a fi suficient de robust, auditorul trebuie să testeze controalele pentru a evalua riscul asupra obiectivelor auditului. În acest scop auditorul poate utiliza tehnici şi metode de testare variate. Acestea pot fi bazate pe programe de test al conformităţii care conţin informaţii privind: descrierea controlului care va fi testat, proba de audit estimată pentru satisfacerea condiţiilor, teste extinse (inclusiv bazate pe eşantionare), descrierea funcţionării eronate a controlului, câte eşecuri pot fi tolerate. Probele de audit se colectează prin combinarea unor tehnici cum ar fi observarea, interviul, examinarea şi eşantionarea, cu tehnici de audit asistat de calculator.

Problemele care pot apărea cu privire la încrederea în controalele de aplicaţie se pot sintetiza astfel:

(a) Controalele IT nu furnizează un istoric al operării din cauza „scufundării” lor în corpul aplicaţiei şi, în consecinţă, nu furnizează probe de audit explicite. (b) Perioada de timp în care acţionează controalele de aplicaţie IT este limitată, acestea acţionând pe o durată foarte scurtă a ciclului de viaţă al tranzacţiei (de exemplu, pe durata introducerii datelor). (c) Rezervele auditorilor faţă de controalele de aplicaţie IT, datorate eventualităţii ca acestea să fie alterate de către persoane interesate în inducerea în eroare a auditorului. (d) Rezervele auditorilor faţă de controlul preventiv asigurat, decurgând din natura controalelor IT, care nu prezintă garanţii privind funcţionarea corectă.

Relaţia între controalele generale şi controalele de aplicaţie

O modalitate de a privi relaţia dintre controalele generale şi cele de aplicaţie este aceea de a aloca adecvat controalele generale pentru a proteja aplicaţiile şi bazele de date şi pentru a asigura resursele necesare funcţionării continue.

Cele mai uzuale controale de aplicaţie

În cazul unei aplicaţii financiar-contabile sistemul de controale are următoarele nivele:

Examinarea situaţiilor financiare pentru a determina dacă reflectă corect operaţiile efectuate asupra tranzacţiilor: înregistrarea corectă în conturi a unor tranzacţii de test, reflectarea acestor tranzacţii în situaţiile contabile, respectarea formatelor cerute de lege pentru situaţiile contabile etc.

Pag. 27 din 180

Controale ale ieşirilor, care au ca scop verificarea că fişierele temporare generate pentru listare (în spooler) înaintea transmiterii către imprimantă sunt sau nu sunt alterate, în lipsa unei protecţii adecvate, înainte de a fi listate.

Controale ale prelucrărilor, care sunt implementate pentru verificarea prelucrării corecte a ratelor de schimb, a comisioanelor, a aplicării unor cote de regie, a utilizării unor tarife, etc..

Controale ale intrărilor, care au ca scop verificarea că documentele contabile se referă la perioada contabilă aferentă, că se utilizează corect planul de conturi, că aplicaţia permite efectuarea automată a egalităţilor contabile, etc.

Prevenirea accesului neautorizat în sistem

Asigurarea că pe calculatoare este instalată versiunea corectă a programului de contabilitate şi nu versiuni netestate care pot conţine erori de programare, sau versiuni perimate.

Controale privind sistemul de operare, care asigură verificarea că accesul la aplicaţia financiar-contabilă este controlat şi autorizat pentru utilizatorii care o operează.

Controale ale accesului în reţea, care asigură că utilizatorii neautorizaţi nu pot avea acces în sistemele conectate la reţea.

Auditarea sistemului de securitate al sistemelor şi al conexiunilor la Internet, care verifică existenţa şi atribuţiile ofiţerului de securitate al sistemelor, precum şi sistemul de controale specifice, în scopul identificării riscurilor şi al adoptării unor măsuri de reducere a acestora la un nivel acceptabil.

Selecţia şi instruirea personalului, care furnizează asigurarea că procedurile de selecţie şi de instruire a personalului reduc riscul erorilor umane.

Controalele fizice şi de mediu, care asigură protejarea fizică a sistemelor de calcul.

Politicile de management şi standardele; acestea se referă la toate categoriile de controale.

Cele mai uzuale evaluări ale controalelor de aplicaţie se referă la următoarele aspecte:

Existenţa procedurilor de generare automată de către aplicaţie a situaţiilor de ieşire;

Existenţa funcţiei de export al rapoartelor în format electronic, în cadrul sistemului;

Validitatea şi consistenţa datelor din baza de date a aplicaţiei; Existenţa discontinuităţilor şi a duplicatelor; Existenţa procedurii de păstrare a datelor pe suport tehnic pe o perioadă

prevăzută de lege; Asigurarea posibilităţii în orice moment, de a reintegra în sistem datele

arhivate; Procedura de restaurare folosită; Existenţa procedurii de reîmprospătare periodică a datelor arhivate; Existenţa interdicţiei de modificare, inserare sau ştergere a datelor în condiţii

precizate (de exemplu, pentru o aplicaţie financiar-contabilă, interdicţia se poate referi la ştergerea datelor contabile pentru o perioadă închisă);

Existenţa şi completitudinea documentaţiei produsului informatic;

Pag. 28 din 180

Contractul cu furnizorul aplicaţiei din punctul de vedere al clauzelor privind întreţinerea şi adaptarea produsului informatic;

Organizarea gestiunii versiunilor, modificărilor, corecturilor şi schimbărilor de sistem informatic, produse program şi sistem de calcul;

Reconcilierile făcute în urma migrării datelor, ca urmare a schimbării sistemului de calcul sau a modului de prelucrare a datelor;

Alte controale decurgând din specificul aplicaţiei.

O categorie specială de controale IT se referă la conformitatea sistemului informatic cu cerinţele impuse de cadrul legislativ şi de reglementare. Cerinţele legislative şi de reglementare variază de la o ţară la alta. Acestea includ:

Reglementări financiare şi bancare; Legislaţia privind protecţia datelor private şi legislaţia privind protecţia datelor


informatice; Legile cu privire la proprietatea intelectuală.

Testarea aplicaţiei financiar-contabile

În ceea ce priveşte determinarea volumului de teste necesare pentru obţinerea asigurării privind funcţionarea controalelor, auditorul îşi bazează decizia pe o combinaţie între raţionamentul profesional şi o modelare statistică pe care o poate opera în acest scop. Dacă auditorul îşi propune să planifice ca testele de control să se efectueze pe un număr mare de tranzacţii, atunci va aplica metoda eşantionării datelor şi va stabili dimensiunea eşantionului.

În ceea ce priveşte controlul asupra informaţiilor de intrare, ieşire sau memorate în baza de date, pentru o aplicaţie financiar-contabilă verificările uzuale privind satisfacerea cerinţelor legislative sunt:

Conformitatea conturilor cu Planul de conturi; Denumirea în limba română a informaţiilor conţinute în documentele de intrare şi

în situaţiile de ieşire; Interdicţia deschiderii a două conturi cu acelaşi număr; Interdicţia modificării numărului de cont în cazul în care au fost înregistrate date în

acel cont; Interdicţia suprimării unui cont în cursul exerciţiului curent sau aferent

exerciţiului precedent, dacă acesta conţine înregistrări sau sold; Respectarea formatului prevăzut de lege pentru documentele şi situaţiile generate

de aplicaţia contabilă; Acurateţea balanţei sintetice, pornind de la balanţa analitică; generarea balanţei

pentru orice lună calendaristică; Reflectarea corectă a operaţiunilor în baza de date, în documente şi în situaţii de

ieşire; Existenţa şi corectitudinea situaţiilor prevăzute de lege ca fiind obligatorii; Alte controale decurgând din specificul aplicaţiei.

Pag. 29 din 180

Analiza riscului într-un mediu informatizat

Mediul informatizat introduce riscuri noi, pe lângă alte categorii de riscuri cu care se confruntă organizaţia. În vederea asigurării protecţiei informaţiilor şi sistemelor IT este necesară dezvoltarea unui flux continuu de activităţi privind identificarea, analiza, evaluarea şi gestionarea riscurilor specifice.

Erorile şi omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea riscurilor cauzate de acestea, entitatea trebuie să implementeze controale şi proceduri care să contribuie la diminuarea/eliminarea efectelor generate de ignorarea unor aspecte care determină modul de utilizare a angajaţilor, calitatea acestora, motivarea în activitatea desfăşurată, fluctuaţia personalului, structura conducerii, volumul de muncă.

În cele mai multe cazuri entitatea nu deţine o soluţie integrată a sistemului informatic, acesta fiind constituit din implementări de aplicaţii insularizate, dedicate unor probleme strict focalizate (aplicaţia financiar-contabilă, aplicaţii dedicate activităţii de bază a entităţii, etc.). Acest tip de arhitectură prezintă dezavantaje la nivelul utilizării, precum şi o serie de alte impedimente cum ar fi cele legate de dificultatea sau imposibilitatea asigurării interoperabilităţii aplicaţiilor sau de multiplicarea informaţiilor. La aceasta se adaugă şi faptul că tranzacţiile sunt procesate în cadrul unor aplicaţii informatice distincte iar informaţiile introduse în sistem sunt validate într-o manieră eterogenă: proceduri automate combinate cu proceduri manuale, pentru a se asigura detectarea şi corectarea erorilor de intrare, precum şi detectarea inconsistenţei sau a redundanţei datelor. Lipsa unei soluţii integrate se reflectă, de asemenea, în existenţa unor baze de date diverse, unele aparţinând unor platforme hardware/software învechite, interfeţe utilizator diferite şi uneori neadecvate, facilităţi de comunicaţie reduse şi probleme de securitate cu riscuri asociate.

Gradul ridicat de fragmentare a sistemului informatic implică acţiuni frecvente ale utilizatorului în procesul de prelucrare şi atrage efecte negative în ceea ce priveşte respectarea fluxului documentelor, ceea ce creşte foarte mult riscul de eroare.

În funcţie de soluţia arhitecturală implementată şi de estimările iniţiale privind dimensiunea bazei de date şi complexitatea prelucrărilor, un sistem poate "rezista" sau nu la creşteri semnificative ale volumului de tranzacţii care pot rezulta din schimbări majore în activitatea entităţii. Estimarea riscului ca, în viitorul apropiat, sistemul informatic să nu poată suporta creşterea volumului de tranzacţii (scalabilitate redusă) implică decizii importante la nivelul managementului, în sensul reproiectării sistemului, şi, implicit, privind alocarea unui buget corespunzător.

Schimbările configuraţiilor de sisteme trebuie să fie autorizate, testate, documentate, controlate. Într-un mediu informatizat, amploarea riscurilor capătă o altă dimensiune, natura riscurilor fiind influenţată de o serie de factori specifici utilizării tehnologiei informaţiei:

a) Densitatea informaţiei este mult mai mare decât în sistemele clasice, bazate pe hârtie.

b) Absenţa documentelor de intrare – datele pot fi introduse în sistem fără a avea la bază documente justificative – este cazul tranzacţiilor din sistemele on-line.

c) Lipsa unor “urme” vizibile ale tranzacţiilor – spre deosebire de prelucrarea manuală, unde orice tranzacţie poate fi urmărită plecând de la documentul primar, apoi în registrele contabile şi conturi, în prelucrarea automată, pe fluxul de

Pag. 30 din 180

prelucrare, o tranzacţie poate exista numai pe o perioadă limitată, în format electronic.

d) Lipsa unor ieşiri vizibile – anumite tranzacţii sau rezultate, în special când acestea reprezintă detalii, se pot regăsi memorate doar în fişierele aplicaţiei (nu şi într-o formă tipărită).

e) Transparenţa documentelor privind desfăşurarea unor operaţiuni. Dischetele, discurile optice şi alte suporturi moderne ce sunt utilizate pentru salvarea volumului mare de informaţii provenite din sistem (putând însuma zeci de mii de pagini de hârtie), pot fi sustrase mult mai discret, generând astfel fraude sau cel puţin afectând confidenţialitatea informaţiilor.

f) Autorizarea tranzacţiilor. Într-un mediu informatizat se poate include şi capacitatea calculatorului de a iniţia şi executa automat unele tranzacţii, şi, prin modul de proiectare a aplicaţiei informatice poate avea încorporate anumite autorizări implicite şi funcţii de generare automată.

g) Procesarea uniformă a tranzacţiilor. O aplicaţie informatică procesează în mod uniform tranzacţii similare, pe baza aceloraşi instrucţiuni program. În felul acesta, erorile de redactare a documentelor asociate unei procesări manuale sunt în mod virtual eliminate. În schimb, erorile de programare pot conduce la procesarea incorectă sistematică a tranzacţiilor, ceea ce impune auditorilor să-şi concentreze atenţia asupra acurateţei şi consistenţei ieşirilor.

h) Accesul neautorizat la date şi fişiere se poate efectua cu o mai mare uşurinţă, ceea ce implică un mare potenţial de fraudă şi eroare.

i) Remanenţa suporturilor de memorare a datelor, după ce au fost şterse, poate constitui o cale sigură ca persoane interesate, neautorizate să intre în posesia unor informaţii de valoare.

j) Agregarea datelor. Noile sisteme de prelucrare automată a datelor, precum sunt cele de asistare a deciziei, au condus la valorificarea unor informaţii importante ale entităţii, generând prognoze şi strategii într-un anumit domeniu. Astfel, informaţiile capătă valenţe suplimentare.

Evoluţia tehnologiei informaţiei a cunoscut în ultimii ani un ritm accelerat, dar nu acelaşi lucru se poate spune despre progresele înregistrate în domeniul securităţii datelor. Integrarea puternică a sistemelor apare ca o consecinţă a îmbunătăţirii formelor de comunicaţie şi a proliferării reţelelor de calculatoare. Aplicaţiile de comerţ electronic sunt doar un exemplu în acest sens, dar se poate afirma că această evoluţie a deschis şi mai mult apetitul “specialiştilor” în ceea ce priveşte frauda informaţională.

Lipsa urmelor eventualelor atacuri criminale constituie un alt element îngrijorător al noului mediu de lucru; în acest sens modificarea datelor, adăugarea sau chiar ştergerea lor au devenit operaţii mult mai uşor de realizat, dar, în acelaşi timp, destul de greu de depistat.

Obiectivul unei analize a riscurilor informaţionale (riscuri IT) este de a identifica modalităţile prin care datele şi, implicit, sistemul informatic care le conţine, sunt expuse la risc. Elementele prezentate în paragraful anterior conduc la ideea că mediul informatizat generează noi riscuri şi că orice organizaţie, în vederea asigurării unei protecţii eficiente a informaţiilor, este necesar să dezvolte un proces complex de studiu şi analiză a riscurilor. Riscul implicat de utilizarea tehnologiei informaţiei se manifestă prin intermediul componentelor proprii ale acestei tehnologii: ameninţări, vulnerabilităţi şi impact. Ameninţările exploatează vulnerabilităţile unui sistem cauzând impactul şi, în esenţă,

Pag. 31 din 180

combinaţia celor trei elemente determină mărimea riscului. Riscul la nivelul unei organizaţii nu poate fi eliminat, el va exista întotdeauna, managementul organizaţiei fiind responsabil de reducerea acestuia la un nivel acceptabil.

1.3.4 Sisteme în curs de dezvoltare

Sistemele informatice financiar-contabile în curs de dezvoltare ale entităţii auditate nu sunt susceptibile să aibă un impact asupra auditului situaţiilor financiare curente. Însă, un sistem financiar greşit conceput sau implementat ar putea conduce la un audit al evidenţelor informatizate scump sau imposibil de realizat în anii următori. Această secţiune subliniază inportanţa implicării auditorilor externi în formularea unor cerinţe pentru sistemele financiare care urmează să fie achiziţionate de la furnizori sau dezvoltate în cadrul entităţii.

Revine entităţii auditate, şi în particular auditului intern, să stabilească dacă demersul de dezvoltare propus de auditor este susceptibil să conducă la un sistem care să satisfacă necesităţile activităţii. Nu este rolul auditorilor să avizeze demersul sau aspectele particulare ale acestuia. Trebuie, însă, ca auditorul intern să facă observaţii asupra aspectelor demersului care ar putea duce la dificultăţi în emiterea unei opinii asupra situaţiilor financiare şi pentru a putea evita dificultăţile de audit extern ulterioare.

Auditul sistemelor financiare în curs de dezvoltare este o zonă cu caracter tehnic, complexă şi care comportă multe aspecte care necesită o analiză.

1.3.5 Anomalii frecvente în operarea sistemului

Cele mai frecvente efecte ale operării necorespunzătoare a sistemului pot avea ca sursă disfuncţionalităţi la nivelul infrastructurii IT sau pot fi generate de personalul care gestionează sistemul sau de către terţi, în cazul serviciilor externalizate.

Aplicaţiile nu se execută corect datorită operării greşite a aplicaţiilor sau utilizării unor versiuni incorecte, precum şi datorită unor parametri de configurare incorecţi introduşi de personalul de operare (de exemplu, ceasul sistemului şi data setate incorect pot genera erori în calculul dobânzilor, al penalităţilor, al salariilor etc.).

Pierderea sau alterarea aplicaţiilor financiare sau a fişierelor de date poate rezulta dintr-o utilizare greşită sau neautorizată a unor programe utilitare.

Personalul IT nu ştie să gestioneze rezolvarea/„escaladarea” problemelor sau raportarea erorilor, iar încercarea de a le rezolva pe cont propriu poate provoca pierderi şi mai mari;

Întârzieri şi întreruperi în prelucrare din cauza alocării unor priorităţi greşite în programarea sarcinilor;

Lipsa salvărilor şi a planificării reacţiei la incidentele probabile creşte riscul de pierdere a capacităţii de a continua prelucrarea în urma unui dezastru;

Lipsa capacităţii (resurselor) sistemului, acesta devenind incapabil de a prelucra tranzacţiile din cauza supraîncărcării;

Timpul mare al căderilor de sistem până la remedierea problemei;

Probleme ale utilizatorilor nerezolvate datorită funcţionării defectuoase a facilităţii de asistenţă tehnică (Helpdesk).

Pag. 32 din 180

1.3.6 Documente şi informaţii solicitate entităţii auditate

În cadrul misiunii de audit IT, în mod uzual, se solicită următoarele documente şi informaţii privind sistemele, proiectele şi aplicaţiile existente în cadrul entităţii auditate. a) Referitor la managementul tehnologiei informaţiei:

1. Structura organizaţională. Fişe de post pentru persoanele implicate în proiectele informatice;

2. Strategia IT şi stadiul de implementare a acesteia;

3. Politici şi proceduri incluse în sistemul de control intern;

4. Legislaţie şi reglementări care guvernează domeniul;

5. Documente referitoare la coordonarea şi monitorizarea proiectelor IT;

6. Raportări către management privind proiectele IT;

7. Buget alocat pentru proiectele informatice;

8. Lista furnizorilor şi copiile contractelor pentru hardware şi software (furnizare, service, mentenanţă, etc.);

9. Rapoarte de audit privind sistemul IT în ultimii 3 ani;

10. Raportarea indicatorilor de performanţă.

b) Referitor la infrastructura hardware/software şi de securitate a sistemului

11. Infrastructura hardware, software şi de comunicaţie. Documentaţie de prezentare;

12. Politica de securitate. Proceduri generale. Proceduri operaţionale IT (back-up, managementul capacităţii, managementul configuraţiilor, managementul schimbării proceselor, managementul schimbărilor tehnice, managementul problemelor etc.);

13. Proceduri şi norme specifice, inclusiv cele legate de administrare şi securitate, în vederea creşterii gradului necesar de confidenţialitate şi a siguranţei în utilizare, în scopul bunei desfăşurări a procedurilor electronice şi pentru asigurarea protecţiei datelor cu caracter personal;

14. Arhitectura de sistem. Categorii de servicii şi tehnologii utilizate;

15. Arhitectura de reţea. Tipuri de conexiuni;

16. Personalul implicat în proiecte. Număr, structură, calificare;

17. Manuale, documentaţie de sistem şi orice altă documentaţie referitoare la aplicaţiile informatice.

c) Referitor la continuitatea sistemului

18. Plan de continuitate a activităţii care face obiectul proiectelor IT; 19. Plan de recuperare în caz de dezastru.

d) Referitor la dezvoltarea sistemului

20. Lista aplicaţiilor şi proiectelor IT (scurtă prezentare a portofoliului de proiecte); 21. Stadiul actual, grafice de implementare şi rapoarte de utilizare; 22. Perspective de dezvoltare.

Pag. 33 din 180

e) Referitor la sistemul de monitorizare şi raportare

23. Raportări ale managementului IT referitoare la proiectele informatice; 24. Rapoarte de monitorizare a modului de implementare a proiectelor informatice.

Pag. 34 din 180

Capitolul 2. Proceduri de audit IT

În această secţiune se prezintă cadrul procedural pentru evaluarea sistemelor informatice, în general, cu exemplificări pentru sistemele financiar-contabile. Auditorii trebuie să recurgă la raţionamentul propriu pentru a stabili care dintre controale ar fi rezonabile, având în vedere mărimea, complexitatea şi importanţa sistemelor informatice financiar-contabile ale entităţii auditate. În acest proces, selectarea obiectivelor de control aplicabile din setul COBIT6 şi utilizarea procedurilor de audit adecvate mediului informatizat auditat constituie o activitate deosebit de importantă.

Pentru entităţile mici, care utilizează calculatoare individuale (neinstalate în reţea), modul de evaluare a mediului informatizat este prezentat în Capitolul 4.

Structurarea cadrului procedural este prezentată în tabelul următor.

Tabelul 2 Proceduri de audit IT

Secţiune

Denumirea secţiunii

Procedura

A

Informaţii de fond privind sistemele IT ale entităţii auditate

Privire generală asupra entităţii auditate A1 Principalele probleme IT rezultate din activităţile anterioare

de audit A2

Dezvoltări informatice planificate A3 Echipament informatic [hardware] şi programe informatice

[software] A4

Cerinţe pentru specialiştii în auditul informatic A5 Activitatea necesară pentru revizuirea sistemelor A6 Contacte cheie A7

B

Evaluarea mediului de control IT – Controale IT generale

Management IT B1 Separarea atribuţiilor B2 Securitatea fizică şi controalele de mediu B3 Securitatea informaţiei şi a sistemelor B4 Continuitatea sistemelor B5 Externalizarea serviciilor IT B6 Managementul schimbării şi al dezvoltării de sistem B7 Audit intern B8

6 Domeniile, procesele şi obiectivele de control COBIT sunt prezentate în detaliu în

Manualul de audit al sistemelor informatice (CCR, 2012)

Pag. 35 din 180

CA

Evaluarea controalelor de aplicaţie

Înţelegerea sistemului informatic CA1 Posibilitatea de efectuare a auditului CA2 Utilizarea tehnicilor de audit asistat de calculator (CAAT) CA3 Determinarea răspunderii CA4 Evaluarea documentaţiei aplicaţiei CA5 Evaluarea securităţii aplicaţiei CA6 Evaluarea controalelor la introducerea datelor CA7 Evaluarea controalelor transmisiei de date CA8 Evaluarea controalelor prelucrării CA9 Evaluarea controalelor datelor de ieşire CA10 Evaluarea controalelor fişierelor cu date permanente CA11 Evaluarea conformităţii cu legislaţia în vigoare CA12 Efectuarea testelor de audit CA13

2.1 Informaţii de fond privind sistemele IT ale entităţii auditate

SCOP: Obţinerea informaţiilor privind mărimea, tipul şi complexitatea sistemelor informatice ale entităţii auditate. Pe baza acestora, auditorul poate clasifica sistemele după complexitate şi poate aprecia dacă evaluarea IT trebuie realizată de un auditor IT specialist.

Obţinerea informaţiilor de fond privind sistemele IT ale entităţii auditate îl ajută pe auditor în următoarele activităţi:

identificarea configuraţiilor hardware şi a aplicaţiile informatice implicate în obţinerea situaţiilor financiare ale entităţii auditate;

evaluarea gradului de complexitate al sistemului informatic; evaluarea eficacităţii securităţii informaţiei şi sistemului; identificarea riscurilor generate de mediul IT; obţinerea unei înţelegeri suficiente a sistemelor de controale IT interne pentru a

planifica auditul şi a dezvolta o abordare de audit eficientă.

PROCEDURA A1 - Privire generală asupra entităţii auditate

Auditorul va obţine informaţii privind natura activităţilor entităţii supuse auditului, pe baza unei documentări preliminare sau utilizând informaţii din analizele anterioare (rapoarte de audit, cunoştinţe anterioare şi fişiere de audit). Pentru colectarea datelor se poate folosi Macheta 1. De asemenea, se vor analiza următorii indicatori de bază:

- Plăţi / cheltuieli anuale; - Încasări / venituri anuale; - Total active; - Valoarea activelor IT; - Bugetul anual IT.

Pag. 36 din 180

PROCEDURA A2 - Principalele probleme IT rezultate din activităţile anterioare de audit

Auditorul va obţine informaţii din analizele anterioare, având următoarele surse: rapoarte de audit sau referiri la informări către conducere, evaluări ale sistemelor contabile, evaluări ale riscurilor şi altele.

PROCEDURA A3 - Dezvoltări informatice planificate

Auditorul va lua în considerare identificarea şi analiza aspectelor legate de dezvoltarea sistemului informatic şi/sau de schimbările tehnologice: determinarea direcţiei tehnologice, examinarea portofoliului de proiecte IT, coordonarea şi monitorizarea proiectelor IT; normele metodologice şi standardele în domeniu; stadiul de realizare a proiectelor.

Adoptarea unei direcţii tehnologice în sprijinul afacerii necesită crearea unui plan al infrastructurii tehnologice şi alocarea unor responsabilităţi care au ca obiectiv stabilirea şi administrarea cu claritate şi în mod realist a aşteptărilor cu privire la ceea ce poate oferi tehnologia informaţiei în materie de produse, servicii, precum şi la mecanismele de furnizare a acestora. Planul este actualizat periodic şi înglobează aspecte cum ar fi: arhitectura sistemului, direcţia tehnologică, planuri de achiziţie, standarde, strategii de migrare şi situaţiile neprevăzute.

Auditorul va obţine informaţii legate de principalele proiecte de dezvoltare a sistemelor IT (când vor intra în exploatare, locul instalării, dacă au fost identificate probleme, ce efecte ar putea avea noile sisteme asupra activităţii de audit prezente şi viitoare), precum şi de monitorizarea tendinţelor viitoare şi a reglementărilor. În situaţia în care apar probleme tehnice dificil de înţeles şi tratat, auditorul trebuie să aibă în vedere contactarea unui auditor IT specialist (utilizat de regulă în faza de specificare a sistemelor sau înainte de intrarea în funcţie a sistemelor).

PROCEDURA A4 - Configuraţia hardware (echipamente), software (programe informatice) şi personalul IT

In faza de cunoaştere a entităţii, auditorul va lua în considerare identificarea şi analiza factorilor legaţi de configuraţia hardware (echipamente), software (programe informatice) şi personalul IT care pot influenţa procesul de audit:

componentele sistemului informatic; arhitectura sistemului informatic: platforma hardware/software (soluţii de

implementare, echipamente, arhitecturi de reţea, licenţe, desfăşurare în teritoriu, locaţii funcţionale, versiuni operaţionale); fluxuri de colectare/transmitere/ stocare a informaţiilor (documente text, conţinut digital, tehnici multimedia);

arhitectura informaţională: raţionalizarea resurselor informaţionale în vederea convergenţei cu strategia economică (dezvoltarea dicţionarului de date al organizaţiei cu regulile de sintaxă, cu schemele de clasificare a datelor şi cu nivelele de securitate). Acest proces îmbunătăţeşte calitatea procesului decizional asigurând obţinerea de informaţii de încredere şi sigure, creşte responsabilitatea cu privire la integritatea şi securitatea datelor şi măreşte eficacitatea şi controlul asupra informaţiilor partajate între aplicaţii şi entităţi.

factorii care influenţează funcţionalitatea sistemului: complexitatea componentelor software, sistemul de constituire, achiziţie, validare, utilizare a fondului

Pag. 37 din 180

documentar (documente text, conţinut digital, tehnici multimedia), operarea sistemului, interfaţa utilizator, schimbul de date între structuri, interoperabilitate, anomalii în implementare, modalităţi de raportare şi operare a corecţiilor, siguranţa în funcţionare, rata căderilor, puncte critice, instruirea personalului utilizator, documentaţie tehnică, ghiduri de operare, forme şi programe de instruire a personalului, asigurarea suportului tehnic.

Pentru colectarea datelor auditorul poate folosi Machetele 2, 3 şi 4 care vor fi adaptate în funcţie de complexitatea şi specificul sistemului informatic, întrucât în instituţiile publice există o mare diversitate de configuraţii IT, pornind de la entităţi mici (de exemplu, primării) care au în dotare un singur calculator şi ajungând la entităţi cu sisteme complexe şi configuraţii mari, desfăşurate la nivel naţional.

Auditorul va colecta informaţii privind: Echipamentul informatic (hardware) şi de comunicaţii (topologie, cablare, protocol

de comunicaţii, modem-uri, gateways, routere); Programe informatice (software): sistemul de operare, software de securitate,

software de gestionare a bazelor de date, software de audit, generatoarele de rapoarte, software de programare şi altele;

Software de aplicaţie: denumire, prezentare generală, furnizor, versiune, platformă, limbaj de programare/dezvoltare, număr de utilizatori, data instalării, pachet la cheie sau dezvoltat la comandă, module, prelucrare offline/online;

Modelul arhitecturii informaţionale a organizaţiei: dicţionarul de date al organizaţiei şi regulile de sintaxă a datelor, schema de clasificare a datelor;

Informaţii privind personalul implicat în proiectele IT.

PROCEDURA A5 - Cerinţe pentru specialiştii în auditul sistemului informatic

Auditorii trebuie să decidă dacă ei înşişi au abilităţi IT şi de audit IT necesare şi suficiente pentru a realiza evaluarea la un standard adecvat de competenţă. Factorii luaţi în considerare în acest sens includ: mărimea departamentului IT care face obiectul auditului, utilizarea reţelelor de comunicaţii în cadrul entităţii auditate, procesarea de date distribuite, utilizarea de tehnologii noi, sisteme în curs de dezvoltare, cunoaşterea problemelor IT anterioare ale entităţii auditate şi dacă este de dorit o abordare a auditului bazată pe controale.

PROCEDURA A6 - Activitatea necesară pentru evaluarea sistemelor

Auditorul va stabili gradul de complexitate al sistemului, va inventaria care sunt sistemele /componentele /serviciile informatice care trebuie să fie evaluate în funcţie de obiectivele auditului, va decide asupra cerinţelor pentru auditul IT şi va estima resursele necesare misiunii de audit. De asemenea va stabili criteriile, tehnicile şi metodele de audit, va selecta sau va proiecta procedurile de audit adecvate, listele de verificare, machetele, chestionarele, scenariile de test.

PROCEDURA A7 - Contacte cheie

Conducerea entităţii va stabili persoanele de contact din cadrul entităţii auditate, din domeniile financiar şi IT (nume, funcţie, locaţie, nr. telefon), care vor colabora cu auditorul pe parcursul misiunii de audit.

Pag. 38 din 180

2.2 Evaluarea mediului de control IT – Controale generale IT

SCOP: Identificarea naturii şi impactului riscurilor generate de utilizarea de către entitate a tehnologiei informaţiei, asupra situaţiilor financiare ale organizaţiei, precum şi a capacităţii auditorilor de a le evalua. O evaluare a controalelor IT la nivelul entităţii este realizată prin derularea unei evaluări a mediului informatizat în care funcţionează aplicaţiile financiare. Punctele slabe ale mediului informatizat pot afecta negativ integritatea şi viabilitatea tuturor aplicaţiilor informatice şi a datelor contabile prelucrate de acestea.

Obiectivul unei evaluări a mediului de control IT este de a examina şi de a evalua riscurile, şi controalele care există în cadrul mediului IT al unei entităţi. O evaluare a mediului de control IT este focalizată pe controalele care asigură integritatea şi disponibilitatea programelor şi aplicaţiilor financiare, în timp ce evaluarea unei aplicaţii se concentrează pe integritatea şi disponibilitatea tranzacţiilor procesate de respectiva aplicaţie.

Termenul de mediu de control IT se referă la configuraţia hardware, la programele informatice de sistem, la mediul de lucru. Dimensiunea unei configuraţii IT poate varia de la un sistem mare, amplasat într-o construcţie special destinată, deservit de un personal numeros, până la un simplu calculator personal (PC) din cadrul unui birou de contabilitate.

Mediul de control IT trebuie să aibă controale adecvate pentru a asigura următoarele: un mediu de procesare sigur şi sistematic; protejarea aplicaţiilor, fişierelor şi bazelor de date faţă de acces, modificare sau

ştergere neautorizate; că pierderea facilităţilor de calcul nu afectează capacitatea organizaţiei de a

produce situaţii financiare care pot fi supuse auditului.

Auditorul trebuie să determine ce controale ar fi rezonabile în cadrul fiecărei configuraţii de calcul. Când evaluează un mediu de control IT auditorul trebuie să aibă în vedere diferiţi factori, inclusiv natura activităţii entităţii, mărimea compartimentului IT, istoricul erorilor şi încrederea acordată sistemelor informatice.

Auditorul poate obţine informaţii privind mediul general IT prin interviuri şi discuţii cu personalul implicat, prin analize ale documentaţiei sistemului, precum şi prin legătura cu auditul intern şi observaţia directă.

Pentru evaluarea controalelor IT generale se foloseşte Lista de verificare pentru evaluarea controalelor generale IT (LV_Controale generale IT - Anexa 3), structurată după criterii funcţionale. Auditorul va elimina din listă întrebările referitoare la controalele care nu sunt aplicabile pentru sistemul supus evaluării sau va putea introduce întrebări suplimentare, dacă o cere contextul.

În secţiunile următoare sunt prezentate procedurile reprezentative pentru auditul sistemelor informatice. În funcţie de complexitatea sistemului, în cadrul unei misiuni de audit, auditorul, pe baza raţionamentului profesional va decide utilizarea întregului set de proceduri sau le va selecta pe cele care sunt aplicabile în cazul concret. De asemenea, va putea adopta evaluarea unui set restrâns de obiective de control din cadrul fiecărei proceduri selectate sau, dacă situaţia o cere, poate proiecta proceduri noi.

Pag. 39 din 180

PROCEDURA B1 - Managementul sistemului informatic

Când este evaluat acest domeniu, se verifică următoarele aspecte:

dacă strategia IT este aliniată la strategia afacerii; dacă managementul conştientizează importanţa tehnologiei informaţiei; dacă organizaţia atinge un nivel optim de utilizare a resurselor disponibile; dacă obiectivele IT sunt înţelese de către toţi membrii organizaţiei; dacă riscurile IT sunt cunoscute şi gestionate; dacă nivelul de calitate al sistemelor IT răspunde în mod corespunzător nevoilor

afacerii.

Prin testarea controalelor implementate în cadrul entităţii se poate aprecia dacă utilizarea tehnologiilor informaţiei de către entitatea auditată se desfăşoară în cadrul unei structuri bine definite, dacă este efectuată o informare operativă a conducerii legată de activitatea IT şi conducerea este receptivă la schimbare, dacă funcţionarea sistemului informatic este eficientă din punct de vedere al costurilor şi al gestionării resurselor umane, dacă riscurile sunt monitorizate, dacă monitorizarea cadrului legislativ şi a contractelor cu principalii furnizori se desfăşoară corespunzător.

B.1.1 Aspectele care se iau în considerare atunci când se examinează controalele privind managementul şi organizarea departamentului IT al entităţii (responsabilitatea de ansamblu, structura formală, organizarea şi desfăşurarea activităţii IT, implicarea conducerii entităţii auditate în coordonarea activităţilor legate de funcţionarea sistemului informatic).

Evaluarea se va face pe baza constatărilor şi concluziilor rezultate în urma interviurilor cu conducerea entităţii şi cu persoanele implicate în coordonarea operativă a sistemului informatic, precum şi pe baza analizei documentelor privind: strategiile, politicile, procedurile, declaraţiile de intenţie, cadrul de referinţă pentru managementul riscurilor, întâlnirile organizate de conducerea entităţii (minute, procese verbale, adrese etc.).

Tabelul 3

Secţiunea Management IT – B.1.1

Direcţii de evaluare

Obiective de control Documente de

lucru Surse probe

de audit

MANAGEMENT IT

Implicarea conducerii la cel mai înalt nivel în coordonarea activităţilor

Implicarea conducerii în elaborarea şi implementarea unei politici oficiale, consistente privind serviciile informatice şi în comunicarea acesteia utilizatorilor

Stabilirea unei direcţii unitare de dezvoltare, cu precizarea clară a obiectivelor, elaborarea unor linii directoare

Elaborarea strategiilor şi politicilor bazată pe o evaluare a riscurilor (riscuri în etapa de implementare, riscuri în

LV_ Controale generale IT

Strategii Politici

Registrul riscurilor

Analize

Informări

Minute / procese verbale ale şedinţelor

Pag. 40 din 180



lucru Surse probe

de audit

etapa de furnizare a serviciilor informatice)

Identificarea, planificarea şi gestionarea riscurilor implicate de implementarea şi utilizarea sistemului IT

Analiza beneficiilor potenţiale

Implicarea conducerii instituţiei în coordonarea activităţilor IT - întâlniri regulate între conducerea instituţiei şi persoanele cu atribuţii în implementarea, administrarea şi întreţinerea sistemului

Analiza activităţilor faţă de strategia de implementare

Definirea proceselor IT, a funcţiei şi a relaţiilor

Definirea unei structuri funcţionale IT, luând în considerare cerinţele cu privire la personal, abilităţi, funcţii, responsabilităţi, autoritate, roluri şi supraveghere

Structura funcţională este inclusă într-un cadru de referinţă al procesului IT care asigură transparenţa şi controlul, precum şi implicarea atât de la nivel executiv cât şi general

Existenţa proceselor, politicilor administrative şi procedurilor, pentru toate funcţiile, acordându-se atenţie deosebită controlului, asigurării calităţii, managementului riscului, securităţii informaţiilor, identificării responsabililor datelor şi sistemelor şi separării funcţiilor incompatibile

Implicarea funcţiei IT în procesele decizionale relevante pentru asigurarea suportului şi susţinerii cerinţelor economice Stabilirea rolurilor şi responsabilităţilor

Identificarea personalului IT critic, implementarea politicilor şi procedurilor pentru personalul contractual


Strategii

Politici administrative

Proceduri

Organigrama

Fişe de post

Pag. 41 din 180



lucru Surse probe

de audit

Comunicarea intenţiilor şi obiectivelor conducerii

Dezvoltarea de către conducere a unui cadru de referinţă al controlului IT la nivelul întregii organizaţii, definirea şi comunicarea politicilor Sprijinirea realizării obiectivelor IT şi asigurarea gradului de conştientizare şi de înţelegere a riscurilor afacerii şi a riscurilor ce decurg din IT, a obiectivelor şi intenţiilor conducerii, prin intermediul comunicării. Asigurarea conformităţii cu legile şi reglementările relevante


Politica IT

Declaraţii de intenţie

Organizarea sistemului de monitorizare a activităţilor şi serviciilor IT

Stabilirea atribuţiilor privind monitorizarea consecventă a stadiului proiectelor IT (desemnarea unui responsabil cu urmărirea implementării şi utilizării IT, evaluarea periodică a performanţei utilizatorilor sistemului, instruirea periodică a personalului implicat în proiectele IT pentru a acoperi cerinţele proceselor noului model de activitate)

Existenţa fişelor de post semnate pentru personalul implicat în proiectele IT


Organigrama

Fişe de post

Rapoarte de evaluare

Rapoarte de instruire

Estimarea şi managementul riscurilor IT

Este creat şi întreţinut un cadru de referinţă pentru managementul riscurilor care documentează un nivel comun şi convenit al riscurilor IT, precum şi strategiile de reducere a riscurilor şi de tratare a riscurilor reziduale

Strategiile de reducere a riscurilor sunt adoptate pentru a minimiza riscurile reziduale la un nivel acceptat.

Este întreţinut şi monitorizat un plan de acţiune pentru reducerea riscului


Cadrul de referinţă pentru managementul riscurilor

Strategiile de reducere şi de tratare a riscurilor

Plan de acţiune pentru reducerea riscului

Monitorizare şi evaluare

Este măsurată performanţa sistemului IT pentru a detecta la timp problemele managementul asigură eficienţa şi eficacitatea controlului intern.



Pag. 42 din 180



lucru Surse probe

de audit

Se efectuează evaluarea periodică a proceselor IT, din perspectiva calităţii lor şi a conformităţii cu cerinţele controlului.

Serviciile IT sunt asigurate corespunzător: sunt furnizate în conformitate cu priorităţile afacerii, costurile IT sunt optimizate, personalul poate folosi sistemele IT în mod productiv şi în siguranţă iar confidenţialitatea, disponibilitatea şi integritatea sunt adecvate.

Auditorul va evalua soluţia organizatorică prin prisma criteriilor menţionate şi va colecta probe privind: subordonarea departamentului IT, nivelele de monitorizare a proiectului, existenţa unei politici de angajări, instruirea profesională şi evaluarea periodică a performanţei personalului tehnic implicat proiect şi a utilizatorilor sistemului, analiza dependenţei de persoanele cheie. Pentru personalul implicat în activităţi legate de sistemul informatic, va verifica existenţa fişelor de post semnate şi dacă acestea conţin atribuţiile specifice utilizării tehnologiilor informaţiei. De asemenea pe baza analizei documentelor va evalua: strategiile, politicile, procedurile, declaraţii de intenţie, cadrul de referinţă pentru managementul riscurilor, întâlnirile organizate de conducerea entităţii (minute, procese verbale, adrese etc.). B.1.2 Aspectele care se iau în considerare atunci când se examinează controalele referitoare la planificarea activităţilor privind utilizarea tehnologiilor informaţiei Planificarea strategică a tehnologiilor informaţionale este necesară pentru a administra şi a direcţiona toate resursele IT în concordanţă cu strategia şi priorităţile organizaţiei. Funcţia IT şi beneficiarii acesteia sunt responsabili pentru asigurarea realizării valorii optime a proiectului şi a portofoliului de servicii. Planul strategic urmăreşte să îmbunătăţească gradul şi capacitatea de înţelegere din partea beneficiarilor în ceea ce priveşte oportunităţile şi limitările, stabileşte nivelul de performanţă curentă, identifică cerinţele privind capacitatea şi necesarul de resurse umane şi clarifică nivelul necesar de investiţii. Strategia organizaţiei şi priorităţile trebuie să fie reflectate în portofolii şi să fie executate prin intermediul planurilor tactice, planuri ce specifică obiective concrete, planuri de acţiune şi sarcini. Toate acestea trebuie să fie înţelese şi acceptate de organizaţie şi de compartimentul IT.

Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu conducerea entităţii şi cu persoanele implicate în coordonarea operativă a sistemului informatic, precum şi pe baza analizei documentelor privind planificare activităţilor: planul strategic, planuri tactice, rapoarte de evaluare.

Pag. 43 din 180

Tabelul 4 Secţiunea Management IT – B.1.2

Direcţii de evaluare Obiective de control Documente

de lucru Surse probe

de audit

MANAGEMENT IT

Planificarea activităţilor IT

Existenţa unui plan corespunzător şi documentat pentru coordonarea activităţilor legate de implementarea şi funcţionarea sistemului informatic, corelat cu strategia instituţiei

Documentarea în planificarea entităţii a rezultatelor scontate/ ţintelor şi etapelor de dezvoltare şi implementare a proiectelor

Întocmirea şi aprobarea de către conducere a unui plan strategic adecvat prin care obiectivele cuprinse în politică să aibă asociate acţiuni, termene şi resurse

Este realizat managementul valorii IT

Se evaluează capabilităţile şi performanţele curente


Plan strategic

Planuri tactice


B.1.3 Aspectele care se iau în considerare atunci când se examinează controalele privind managementul costurilor (managementul investiţiilor IT, identificarea şi alocarea costurilor)

Auditorul va verifica dacă este stabilit şi întreţinut un cadru de referinţă pentru managementul programelor de investiţii IT, care înglobează costuri, beneficii, priorităţile în cadrul bugetului, un proces formal de bugetare oficial şi de administrare conform bugetului.

Construirea şi utilizarea unui sistem care să identifice, să aloce şi să raporteze costurile IT către utilizatorii de servicii, implementarea unui sistem just de alocare permite managementului să ia decizii mai bine întemeiate cu privire la utilizarea serviciilor IT, pe baza unei măsurări cât mai exacte.




de audit

MANAGEMENT IT

Managementul investiţiilor

Existenţa unui cadru de referinţă pentru managementul financiar


Cadrul de referinţă pentru

Pag. 44 din 180



de audit

Stabilirea priorităţilor în cadrul bugetului IT

Finanţarea IT

management financiar

Documentaţii şi situaţii privind finanţarea IT, managementul costurilor şi al beneficiilor

Managementul costurilor şi al beneficiilor

Definirea serviciilor IT şi elaborarea unei strategii de finanţare pentru proiectele aferente serviciilor IT

Nivelele de finanţare sunt consistente cu obiectivele

Existenţa unui buget separat pentru investiţii şi cheltuieli legate de IT. Stabilirea responsabilităţilor privind întocmirea, aprobarea şi urmărirea bugetului

Implementarea sistemelor pentru monitorizarea şi calculul cheltuielilor (Contabilitatea IT)

Managementul beneficiilor

Efectuarea analizei activităţilor faţă de Strategia IT a entităţii


Documente care reflectă strategia de finanţare pentru proiectele aferente serviciilor IT

Bugetul pentru investiţii şi cheltuieli legate de IT

Situaţii privind managementul costurilor şi al beneficiilor

Evidenţe contabile

Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu persoanele implicate în coordonarea operativă a sistemului informatic, cu persoane din compartimentul financiar-contabil şi pe baza analizei documentelor privind modul de alocare şi gestionare a bugetului aferent proiectelor IT, în concordanţă cu obiectivele şi strategia entităţii, precum şi pe baza analizei documentelor privind managementul investiţiilor şi managementul costurilor.

Urmărirea gestionării bugetului alocat proiectului se reflectă în evidenţele operative ale entităţii (procese verbale privind îndeplinirea sarcinilor furnizorilor, documente conţinând rezultatele unor inspecţii, documente privind analize şi raportări periodice ale activităţilor şi stadiului proiectului, în raport cu strategia de implementare).

Pag. 45 din 180

B.1.4 Aspectele care se iau în considerare atunci când se examinează controalele privind managementul programelor şi al proiectelor, precum şi raportarea către conducerea instituţiei (cu scopul de a evalua problematica şi de a întreprinde măsuri corective pentru remedierea unor deficienţe sau de a efectua evaluări ale efectelor utilizării sistemului în raport cu obiectivele activităţii entităţii)

În vederea realizării strategiei IT, soluţiile IT trebuie identificate, dezvoltate sau achiziţionate, dar şi implementate şi integrate în procesele afacerii. În plus, pentru a se asigura continuitatea în atingerea obiectivelor economice pe baza soluţiilor IT, sunt acoperite, prin acest domeniu, schimbările şi mentenanţa sistemelor deja existente.

Această abodare reduce riscul apariţiei unor costuri neaşteptate şi anularea proiectelor, îmbunătăţeşte comunicarea şi colaborarea dintre organizaţie şi utilizatorii finali, asigură valoarea şi calitatea livrabilelor proiectului, şi maximizează contribuţia lor în programele de investiţii IT.




de audit

MANAGEMENT IT

Managementul programelor şi al proiectelor. Raportarea către conducerea instituţiei

Pentru toate proiectele IT este stabilit un program şi un cadru de referinţă pentru managementul proiectelor care garantează o ierarhizare corectă şi o bună coordonare a proiectelor Cadrul de referinţă include un plan general, alocarea resurselor, definirea livrabilelor, aprobarea utilizatorilor, livrarea conform fazelor proiectului, asigurarea calităţii, un plan formal de testare, revizia testării şi revizia post-implementării cu scopul de a asigura managementul riscurilor proiectului şi furnizarea de valoare pentru organizaţie

Managementul portofoliilor de proiecte

Managementul proiectelor este cuprinzător, riguros şi sistematic

Monitorizarea activităţilor şi progresului proiectelor în raport cu planurile elaborate în acest domeniu

Nominalizarea unui colectiv şi a unui responsabil care supraveghează desfăşurarea activităţilor în concordanţă cu liniile directoare


Documentaţia proiectelor Grafice de realizare Rapoarte de stadiu Situaţii de raportare către conducere Registrul riscurilor proiectelor IT Planul calităţii proiectelor Controlul schimbărilor în cadrul proiectelor Situaţii de raportare a indicatorilor de

Pag. 46 din 180



de audit

Informarea personalului în legătură cu politicile, reglementările, standardele şi procedurile legate de IT Raportarea regulată către conducerea instituţiei a activităţilor legate de implementarea IT

performanţă

Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu persoanele implicate în managementul proiectelor şi pe baza analizei documentelor privind modul de monitorizare şi de gestionare a acestora. Auditorul va constata modul în care se face raportarea către management, prin colectarea unor probe care decurg din analiza documentelor de raportare care oferă informaţii privind conţinutul şi periodicitatea raportărilor, privind organizarea unor întâlniri între actorii implicaţi în proiect pentru semnalarea problemelor apărute şi alegerea căilor de rezolvare a problemelor semnalate. De asemenea, este evaluat modul în care sunt analizaţi şi aduşi la cunoştinţa conducerii entităţii, în mod oficial, indicatorii de performanţă ai sistemului informatic. B.1.5 Aspectele care se iau în considerare atunci când se examinează controalele privind calitatea serviciilor furnizate utilizatorilor (care se reflectă în succesul proiectului, un obiectiv important al conducerii, având efecte inclusiv în planul încrederii personalului în noile tehnologii) Dezvoltarea şi întreţinerea unui Sistem de Management al Calităţii (SMC), incluzând procese şi standarde validate de dezvoltare şi achiziţie a sistemelor informatice asigură că funcţia IT oferă valoare afacerii, îmbunătăţire continuă şi transparenţă pentru beneficiari. Nivelul calităţii serviciilor furnizate utilizatorilor interni se menţionează într-un document care prevede clauzele referitoare la acestea - SLA (Service Level Agreement).

Tabelul 7

Secţiunea Management IT – B.1.5



de audit

MANAGEMENT IT

Managementul calităţii

Este dezvoltat şi întreţinut un Sistem de Management al Calităţii (SMC), incluzând procese şi standarde validate de dezvoltare şi achiziţie a sistemelor informatice

Furnizarea de cerinţe clare de calitate formulate şi transpuse în indicatori cuantificabili şi realizabili, proceduri şi politici


Manualul SMC

Standarde şi practici de calitate IT

Standarde de dezvoltare şi achiziţie

Evaluări ale satisfaciei clientului

Pag. 47 din 180



de audit

Îmbunătăţirea continuă se realizează prin monitorizare permanentă, analiză şi măsurarea abaterilor şi comunicarea rezultatelor către beneficiari

Reclamaţii

Măsuri de îmbunătăţire continuă

Documente privind măsurarea, monitorizarea şi revizuirea calităţii

Calitatea serviciilor furnizate utilizatorilor

Existenţa clauzelor cu privire la calitatea serviciilor furnizate utilizatorilor


SLA (Service Level Agreement)

Auditorul va face evaluarea pe baza concluziilor rezultate în urma interviurilor cu persoanele implicate în managementul proiectelor şi pe baza analizei documentelor privind clauzele referitoare la asigurarea calităţii pentru întreg ciclul de viaţă al proiectului (specificarea cerinţelor, dezvoltarea sistemului, implementarea sistemului, elaborarea şi predarea documentaţiei, instruirea personalului la toate nivelurile, întreţinerea sistemului, asigurarea suportului tehnic etc.), care trebuie să facă parte din contractele cu furnizorii. B.1.6 Aspectele care se iau în considerare atunci când se examinează controalele privind managementul resurselor umane IT

Pentru crearea şi livrarea serviciilor IT în cadrul organizaţiei (afacerii) se constituie şi se menţin resurse umane cu competenţă ridicată. Acest lucru este realizat prin respectarea unor practici definite şi agreate care sprijină recrutarea, instruirea, evaluarea performaţelor, promovarea şi rezilierea contractului de muncă. Acest proces este critic, deoarece oamenii reprezintă active importante, iar guvernarea şi mediul controlului intern sunt puternic dependente de motivaţia şi competenţa personalului.

Educarea eficientă a tuturor utilizatorilor, incluzând pe cei din departamentul IT, necesită identificarea nevoilor de învăţare a fiecărui grup de utilizatori. În afara definirii nevoilor, procesul ar trebui să includă definirea şi implementarea unei strategii de creare a unor programe de învăţare eficiente cu rezultate cuantificabile. Un program de instruire eficient duce la eficientizarea folosirii tehnologiei prin reducerea erorilor cauzate de utilizatori, crescând productivitatea şi conformitatea cu controalele cheie, cum ar fi măsurile de securitate.

Instruirea utilizatorilor ca urmare a implementării noilor sisteme impune elaborarea de documentaţii şi manuale pentru utilizatori şi pentru personalul IT şi necesită pregătire profesională pentru a asigura utilizarea corectă şi funcţionarea aplicaţiilor şi a infrastructurii.

Pag. 48 din 180




de audit

MANAGEMENT IT

Managementul resurselor umane IT

Existenţa unor practici definite şi agreate care sprijină menţinerea resurselor umane cu competenţă ridicată

Existenţa politicilor şi procedurilor referitoare la recrutarea şi retenţia personalului

Stabilirea competenţele personalului, acoperirea rolurilor din punctul de vedere al personalului, dependenţa de persoanele critice

Evaluarea performanţelor angajaţilor

Implementarea procedurilor referitoare la schimbarea locului de muncă şi rezilierea contractului de muncă


Politici şi proceduri referitoare la recrutarea şi retenţia personalului Fişe de evaluare a performanţelor angajaţilor Proceduri privind acoperirea rolurilor din punctul de vedere al personalului şi dependenţa de persoanele critice Proceduri referitoare la schimbarea locului de muncă şi rezilierea contractului de muncă

Educarea şi instruirea utilizatorilor şi a personalului IT

Identificarea nevoilor de învăţare a fiecărui grup de utilizatori

Definirea şi implementarea unei strategii de creare a unor programe de învăţare eficiente cu rezultate cuantificabile: reducerea erorilor cauzate de utilizatori, creşterea productivităţii şi conformităţii cu controalele cheie, cum ar fi măsurile de securitate

Realizarea sesiunilor de instruire şi educare


Politici privind instruirea utilizatorilor

Programe de instruire


Pag. 49 din 180



de audit

Evaluarea instruirii

Autorizarea operării şi utilizării

Sunt disponibile cunostinţe despre noile sisteme.

Transferul cunoştinţelor către managementul afacerii

Transferul cunoştinţelor către utilizatorii finali

Transferul cunoştinţelor către personalul care operează şi cel care oferă suport

Documentaţii şi manuale pentru utilizatori şi pentru personalul IT

Situaţii privind pregătirea profesională privind noile sisteme

Evaluarea se va face pe baza concluziilor rezultate în urma interviurilor cu conducerea operativă a sistemului informatic, precum şi pe baza analizei documentelor privind managementul resurselor umane, educarea şi instruirea personalului IT şi a utilizatorilor.

B.1.7 Aspectele care se iau în considerare atunci când se examinează controalele privind respectarea reglementărilor în domeniu şi a cerinţelor proiectului

Stabilirea responsabilităţii pentru asigurarea că sistemul implementat este actualizat în conformitate cu ultima versiune furnizată, că pachetele software au fost furnizate conform clauzelor contractuale, că au fost furnizate licenţele în cadrul contractelor, că documentaţia a fost furnizată conform contractului sunt deosebit de importante pentru asigurarea continuităţii sistemului şi pentru creşterea încrederii în informaţiile furnizate de sistemul informatic.




de audit

MANAGEMENT IT

Respectarea reglementărilor în domeniu şi a cerinţelor proiectului

Stabilirea responsabilităţii asigurării că sistemul implementat este actualizat în conformitate cu ultima versiune furnizată, că pachetele software au fost furnizate conform clauzelor contractuale, că au fost furnizate licenţele în cadrul contractelor, că documentaţia a fost furnizată conform contractului


Contractele cu furnizorii

Existenţa responsabilului

Grafice de implementare

Documentaţia tehnică

Pag. 50 din 180



de audit

Licenţe software

Suport tehnic

Auditorul va face evaluarea pe baza concluziilor rezultate în urma interviurilor cu persoanele implicate în managementul proiectelor şi pe baza analizei documentelor care se referă la existenţa unor politici sau proceduri formale prin care se atribuie responsabilitatea monitorizării mediului legislativ care poate avea impact asupra sistemelor informatice, precum şi a asigurării conformităţii cu clauzele contractuale privind:

Responsabilitatea asigurării că sistemul implementat este actualizat în conformitate cu ultima versiune furnizată;

Respectarea termenelor privind distribuirea ultimelor versiuni de echipamente, software, documentaţie;

Livrarea şi instalarea configuraţiilor hardware/software pe baza unui grafic, conform clauzelor contractuale, pe etape şi la termenele stabilite;

Respectarea obligaţiilor privind instruirea şi suportul tehnic, stabilite prin contract;

Furnizarea pachetelor software conform clauzelor contractuale. Verificarea existenţei şi valabilităţii licenţelor furnizate în cadrul contractului;

Asigurarea suportului tehnic (prin telefon, e-mail sau utilizând un portal care poate avea secţiuni distincte pentru suport tehnic, specializat pe categorii relevante de probleme / anomalii sau pentru instruirea continuă a utilizatorilor);

Existenţa unor proceduri scrise privind analiza şi acceptarea produselor şi serviciilor furnizate în cadrul contractului, precum şi recepţia cantitativă şi calitativă;

Furnizarea documentaţiei tehnice conform contractului: conţinutul (lista, numărul manualelor, limba) şi formatul (tipărit, în format electronic, on-line);

Existenţa specificaţiilor funcţionale, a manualelor de utilizare şi administrare pentru proiectele de dezvoltare software;

Existenţa manualelor de utilizare pentru echipamentele livrate.

PROCEDURA B2 - Separarea atribuţiilor

Separarea atribuţiilor este o modalitate de a asigura că tranzacţiile sunt autorizate şi înregistrate şi că patrimoniul este protejat. Separarea atribuţiilor are loc atunci când o persoană efectuează o verificare privind activitatea altei persoane. Se previne în acest fel desfăşurarea unei activităţi, de către aceeaşi persoană, de la început până la sfârşit, fără implicarea altei persoane. Separarea atribuţiilor reduce riscul de fraudă şi constituie o formă de verificare a erorilor şi de control al calităţii.

Separaţia atribuţiilor include: separarea responsabilităţii privind controlul patrimoniului de responsabilitatea

de a menţine înregistrările contabile pentru acesta; separarea funcţiilor în mediul informatizat.

Separarea atribuţiilor se aplică atât mediului controalelor generale, cât şi programelor şi aplicaţiilor specifice.

Pag. 51 din 180

În mediul controalelor generale, anumite funcţii şi roluri trebuie să fie separate. De exemplu, un programator nu trebuie să aibă acces la mediul de producţie pentru a-şi îndeplini sarcinile. Personalul care face programare nu trebuie să aibă autoritatea de a transfera software nou între mediile de dezvoltare, testare şi producţie. Segregarea atribuţiilor între programatori şi personalul de operare reduce riscul ca aceştia, cu cunoştinţele de programare pe care le deţin, să poată efectua modificări neautorizate în programe. În multe cazuri activitatea departamentului IT se împarte în două tipuri distincte: programare (sisteme şi aplicaţii) şi operarea calculatoarelor. Personalul nu poate avea atribuţii care să se plaseze în ambele tipuri de activităţi. Personalul care face programare nu trebuie să aibă acces la fişiere şi programe din mediul de producţie. Sub presiunea reducerii costurilor funcţiilor IT numărul de personal este de multe ori redus, ceea ce limitează separarea atribuţiilor. În cazul limitării separării atribuţiilor, auditorul trebuie să identifice controale compensatorii, care de obicei se plasează în sfera securităţii sistemelor sau în cea a reconcilierii utilizatorilor finali, pe care să le recomande entităţii (de ex. verificări şi inspecţii regulate ale conducerii, utilizarea parcursurilor de audit şi a controalelor manuale).

Tabelul 10

Secţiunea Separarea atribuţiilor – B2



de audit

SEPARAREA ATRIBUŢIILOR

Cadrul organizatoric şi de implementare privind separarea atribuţiilor

Existenţa unei structuri organizatorice formale / cunoaşterea de către personal a modului de subordonare şi a limitelor de responsabilitate proprii şi ale celorlalţi. Aceasta va face mai dificil să se efectueze acţiuni neautorizate fără a fi detectate

Includerea cu claritate a atribuţiilor personalului în fişa postului, în scopul reducerii riscului efectuării de către acesta a unor acţiuni dincolo de limitele autorizate

Separarea sarcinilor realizată prin intermediul sistemului informatic, prin utilizarea de profile de securitate individuale și de grup, preprogramate

Interdicţia ca personalul care are sarcini în departamentul IT, să aibă sarcini și în departamentul financiar-contabil sau personal

Existenţa unei separări fizice şi manageriale a atribuţiilor, pentru a reduce riscul de fraudă.


Fişe de post

Separarea sarcinilor realizată prin intermediul sistemului informatic

Decizii ale conducerii

Regulamente, norme, instrucţiuni,

Prevederi contractuale referitoare la externalizarea serviciilor

Pag. 52 din 180



de audit

Separarea funcţiilor IT de utilizatori pentru a reduce riscul de efectuare de către utilizatori a unor modificări neautorizate ale softului sau ale datelor financiar-contabile, având în vedere că persoanele cu sarcini atât în domeniul financiar-contabil, cât şi în domeniul IT au oportunităţi mai mari de a efectua activităţi neautorizate prin intermediul aplicaţiilor informatice, fără a fi depistaţi

Existenţa unui cadru formal de separare a sarcinilor în cadrul departamentului IT, pentru următoarele categorii de activităţi: Proiectarea şi programarea

sistemelor Întreţinerea sistemelor Operaţii IT de rutină Introducerea datelor Securitatea sistemelor Administrarea bazelor de date Managementul schimbării şi al

dezvoltării sistemului informatic

Separarea sarcinilor de administrator de sistem de cele de control al securităţii sistemului

Asigurarea unei separări adecvate a sarcinilor pentru a reduce riscurile ca personalul cu cunoștinţe semnificative despre sistem să efectueze acţiuni neautorizate şi să înlăture urmele acţiunilor lor

Existenţa unei separări eficiente a sarcinilor între dezvoltatorii de sisteme, personalul de operare a calculatoarelor și utilizatorii finali

Interdicţia ca programatorii să aibă acces la mediul de producţie (introducere de date, fişiere permanente date de ieşire, programe, etc.) pentru a-şi îndeplini sarcinile

Interdicţia ca personalul care face programare să aibă permisiunea de a transfera software nou între mediile de dezvoltare, testare şi producţie

Pag. 53 din 180



de audit

Interdicţia ca personalul cu cunoştinţe de programare să aibă atribuţii de operare care să permită efectuarea modificări neautorizate în programe

Separarea responsabilităţii privind operarea aplicaţiei de control al patrimoniului, de responsabilitatea de a menţine înregistrările contabile pentru acesta

Utilizarea separării sarcinilor ca formă de revizie, detectare a erorilor şi control al calităţii Conștientizarea personalului

Auditorul trebuie să determine prin interviu, prin observare directă şi prin analiza documentelor relevante (organigramă, fişa postului, decizii ale conducerii, contracte etc.) dacă personalul IT are responsabilităţi în departamentele utilizatorilor, dacă funcţiile IT sunt separate de funcţiile de utilizare (financiar, gestiunea stocurilor, etc.) pentru a nu se opera schimbări neautorizate, de obicei dificil de detectat, dacă alte funcţii incompatibile, potrivit aspectelor menţionate mai sus, sunt separate.

PROCEDURA B3 - Securitatea fizică şi controalele de mediu

Obiectivul controalelor fizice şi de mediu este de a preveni accesul neautorizat şi interferenţa cu serviciile IT în scopul diminuării riscului deteriorării accidentale sau deliberate sau a furtului echipamentelor IT şi al informaţiilor. Aceste controale trebuie să asigure, pe de o parte, protecţia împotriva accesului personalului neautorizat, iar pe de altă parte, protecţia în ceea ce priveşte deteriorarea mediului în care funcţionează sistemul (cauzată de foc, apă, cutremur, praf, căderi sau creşteri bruşte ale curentului electric).

B.3.1 Aspectele care se iau în considerare atunci când se examinează controalele privind controlul accesului fizic

Restricţionarea accesului la sistemul de calcul se poate realiza pe baza a două tipuri de controale, privitoare la accesul fizic şi, respectiv, la accesul logic.

Controale fizice: Asigurarea securităţii zonei (delimitarea clară a perimetrului afectat facilităţilor IT

şi informarea personalului în legătură cu "graniţele" acestuia); Accesul în aria securizată trebuie controlat pe nivele de control, prin controale

fizice explicite: chei, card-uri de acces, trăsături biometrice (amprentă, semnătură, voce, imagine, etc.), coduri de acces sau implicite: atribuţii specificate în fişa postului, care necesită prezenţa în zona de operare IT.

Pag. 54 din 180

Controalele administrative: Uniforma personalului sau utilizarea ecusoanelor;

Ştergerea drepturilor de acces la plecarea persoanei din organizaţie şi informarea personalului care asigură paza în legătură cu acest lucru. Pentru această situaţie trebuie să existe proceduri de identificare a celor care pleacă şi de asigurare că accesul fizic al acestora în zona de operare IT nu mai este permis;

Identificarea vizitatorilor şi primirea acestora;

Proceduri pentru evenimente neaşteptate: plecarea temporară din birou a unor salariaţi pentru a lua masa, sau la o solicitare expresă. Măsurile pentru aceste situaţii pot include: încuierea laptop-urilor în sertare sau dulapuri, blocarea tastaturii, încuierea suporţilor tehnici care conţin date.

Tabelul 11

Secţiunea Controale privind securitatea fizică şi controalele de mediu – B.3.1



de audit

CONTROALE PRIVIND SECURITATEA FIZICĂ ŞI CONTROALELE DE MEDIU

Controlul accesului fizic

Alocarea unor spaţii adecvate pentru camera serverelor

Implementarea unor proceduri formale de acces în locaţiile care găzduiesc echipamente IT importante care să stabilească: persoanele care au acces la servere, modul în care se controlează accesul la servere (ex. cartele de acces, chei, registre), procedura de alocare a cartelelor către utilizatori şi de monitorizare a respectării acesteia, cerinţa ca vizitatorii să fie însoţiţi de un reprezentant al entităţii

Existenţa unor măsuri pentru a asigura că se ţine o evidenţă exactă a echipamentului informatic şi a programelor informatice (marcarea sau etichetarea echipamentele pentru a ajuta identificarea), pentru a preveni pierderea intenţionată sau neintenţionată de echipamente şi a datelor conţinute în acestea


Regulamente, norme, instrucţiuni

Planuri de amplasare

Proceduri de acces

Evidenţe privind accesul

Evidenţe referitoare la echipamente şi la software

Inspecţie, observaţie (probe de audit fizice)

Auditorul trebuie să determine prin interviu şi prin observare directă (inspecţie în sălile în care sunt amplasate echipamentele) dacă există dotările necesare pentru asigurarea controlului accesului fizic în zona de securitate definită. De asemenea, trebuie să verifice existenţa şi modul de implementare a procedurilor asociate.

Pag. 55 din 180

B.3.2 Aspectele care se iau în considerare atunci când se examinează controalele privind protecţia mediului

Asigurarea că în camera serverelor există dotările necesare pentru protecţia mediului: sisteme de prevenire a incendiilor; dispozitive pentru controlul umidităţii; aer condiţionat; dispozitive UPS; senzori de mişcare; camere de supraveghere video.

Asigurarea că serverele şi elementele active ale reţelei sunt amplasarea în rackuri speciale şi cablurile de reţea sunt protejate şi etichetate.

Tabelul 12

Secţiunea Controale privind securitatea fizică şi controalele de mediu – B.3.2



de audit

CONTROALE PRIVIND SECURITATEA FIZICĂ ŞI CONTROALELE DE MEDIU

Protecţia mediului

Asigurarea că în camera serverelor există dotările necesare pentru protecţia mediului:

- sisteme de prevenire a incendiilor

- dispozitive pentru controlul umidităţii

- aer condiţionat - dispozitive UPS - senzori de mişcare - camere de supraveghere video

Amplasarea în rackuri speciale şi protejarea serverelor, protejarea elementelor active ale reţelei şi a cablurilor de reţea, etichetarea cablurilor


Regulamente, norme, instrucţiuni

Planuri/ scheme de amplasare

Evidenţe referitoare la echipamente pentru protecţia mediului

Inspecţie, observaţie (probe de audit fizice)

Auditorul trebuie să determine prin interviu şi prin observare directă (inspecţie în sălile în care sunt amplasate echipamentele) dacă există dotările necesare pentru protecţia mediului (sisteme de prevenire a incendiilor, dispozitive pentru controlul umidităţii, aer condiţionat, dispozitive UPS, senzori de mişcare, camere de supraveghere video). De asemenea, trebuie să verifice existenţa şi modul de implementare a procedurilor asociate.

PROCEDURA B4 - Securitatea informaţiei şi a sistemelor

Nevoia de menţinere a integrităţii informaţiilor şi protejarea bunurilor IT necesită un proces de management al securităţii. Securitatea informaţiei şi a sistemelor se realizează prin implementarea unor proceduri care să prevină obţinerea accesului neautorizat la date sau programe critice şi să asigurare confidenţialitatea, integritatea şi credibilitatea în mediul în care aceste sisteme operează. Acest proces include stabilirea şi menţinerea rolurilor de securitate IT şi a responsabilităţilor, politicilor, standardelor şi procedurilor.

Pag. 56 din 180

Gestionarea securităţii mai include şi efectuarea monitorizărilor periodice de securitate, testarea periodică şi implementarea acţiunilor corective pentru identificarea punctelor slabe în securitate şi a incidentelor. Gestionarea eficientă a securităţii protejează toate bunurile IT pentru minimizarea impactului vulnerabilităţilor asupra afacerii. Obiective de control referitoare la sistemul de management al securităţii sunt: Politica de securitate IT, managementul identităţii, managementul conturilor utilizatorilor, testarea securităţii, inspecţia şi monitorizarea, definirea incidentelor de securitate, protecţia tehnologiei de securitate, managementul cheilor criptografice, prevenirea, detectarea şi neutralizarea software-ului rău-intenţionat, securitatea reţelei, transferul datelor sensibile

Desemnarea unei persoane cu atribuţii privind administrarea securităţii, desemnarea unui responsabil (ofiţer) pentru securitate şi definirea în mod formal a atribuţiilor acestora, asigurarea segregării responsabilităţilor pentru aceste funcţii, asigurarea că politicile de securitate acoperă toate activităţile IT într-un mod consistent.

Controlul accesului logic (administrarea utilizatorilor, existenţa şi implementarea regulilor pentru parole, controlul asupra conturilor cu drepturi depline, existenţa unor utilitare de sistem cu funcţii specializate, accesul IT, revizuirea jurnalelor de operaţii).

Revizuirea jurnalelor de operaţii (log-uri) presupune monitorizarea şi analiza periodică a jurnalelor de operaţii, alocarea responsabilităţilor şi specificarea metodelor care se aplică.

Administrarea utilizatorilor are asociate proceduri formale privind administrarea drepturilor utilizatorilor, acordarea, modificarea şi revocarea drepturilor de acces.

Regulile pentru parole. Se stabilesc proceduri formale care implementează controale relative la: lungimea parolei, existenţa unor reguli referitoare la conţinutul parolei, stabilirea unei perioade de valabilitate a parolei, numărul de încercări prevăzute până la blocarea contului, existenţa unei persoane cu atribuţii în deblocarea conturilor blocate, numărul de parole reţinute de către sistem, schimbarea parolei la prima accesare.

Controlul asupra conturilor cu drepturi depline/utilitare de sistem. Se au în vedere controale privind: stabilirea dreptului de administrare a sistemului, de alocare şi autorizare a conturilor cu drepturi depline, de monitorizare a activităţilor utilizatorilor cu drepturi depline.

Acces IT. Se au în vedere controale privind: drepturile de acces ale programatorilor la mediile de producţie, drepturile de acces ale departamentului IT la datele celorlalte departamente.

Conexiuni externe. Controalele se referă la: protejarea conexiunilor externe împotriva atacurilor informatice, existenţa unor proceduri de control al accesului de la distanţă, măsurile de securitate aplicate pentru a controla accesul de la distanţă.

B.4.1 Aspectele care se iau în considerare atunci când se examinează controalele privind Politica de securitate

Politica de securitate a informaţiei asigură orientarea generală din partea managementului şi acordarea sprijinului pentru securitatea informaţiei în conformitate cu cerinţele afacerii, legislaţie şi reglementările aplicabile.

Pag. 57 din 180

Aceasta se reflectă în existenţa unui document formal (distribuit tuturor utilizatorilor, cu semnătura că au luat cunoştinţă), în existenţa unei persoane care are responsabilitatea actualizării acestei politici, precum şi în aplicarea măsurilor pentru a creşte conştientizarea în cadrul entităţii cu privire la securitate (cursuri, prezentări, mesaje pe e-mail).

Politica de securitate se exprimă într-o formă concisă, narativă, este aprobată de managementul de vârf, trebuie să fie disponibilă pentru toţi funcţionarii responsabili cu securitatea informaţiei şi trebuie să fie cunoscută de toţi cei care au acces la sistemele de calcul.

Politica de securitate trebuie să conţină următoarele elemente: O definiţie a securităţii informaţiei, obiectivele sale generale şi scopul; O declaraţie de intenţie a managementului prin care acesta susţine scopul şi

principiile securităţii informaţiei; O detaliere a politicilor, principiilor şi standardelor specifice privind

securitatea, precum şi a cerinţelor de conformitate cu acestea: 1. conformitatea cu cerinţele legale şi contractuale; 2. educaţie şi instruire în domeniul securităţii; 3. politica de prevenire şi detectare a viruşilor; 4. politica de planificare a continuităţii afacerii.

O definire a responsabilităţilor generale şi specifice pentru toate aspectele legate de securitate;

O descriere a procesului de raportare în cazul apariţiei incidentelor privind securitatea.

Entitatea trebuie să implementeze metode de monitorizare a conformităţii cu politica de securitate şi să furnizeze asigurarea că politica este de actualitate. Responsabilitatea pentru securitatea IT este asignată unei funcţii de administrare a securităţii.

Tabelul 13 Secţiunea Securitatea informaţiei şi a sistemelor – B.4.1



de audit

SECURITATEA INFORMAŢIEI ŞI A SISTEMELOR

Politica de securitate

Existenţa unei politici de securitate IT formale

Se verifică dacă aceasta este distribuită tuturor utilizatorilor, dacă utilizatorii semnează că au luat cunoştinţă de politica de securitate IT

Aplicarea unor măsuri pentru a creşte conştientizarea în cadrul entităţii cu privire la securitate (cursuri, prezentări, mesaje pe e-mail)

Se analizează conţinutul documentului pentru a evalua domeniile acoperite de politica de securitate şi cadrul procedural asociat


Politica de securitate Măsuri Tabele de luare la cunoştinţă sau mesaje e-mail Proceduri asociate

Pag. 58 din 180



de audit

Se verifică dacă politica de securitate este actualizată periodic şi dacă este alocată responsabilitatea cu privire la actualizarea politicii de securitate

Auditorul trebuie să determine prin interviu, prin analiza politicii de securitate şi a procedurilor asociate şi prin observare directă dacă Politica de securitate este distribuită tuturor utilizatorilor, dacă utilizatorii au semnat că au luat cunoştinţă de politica de securitate IT, dacă există o persoană care este responsabilă de actualizarea acestei politici, dacă s-au aplicat măsuri pentru a creşte conştientizarea în cadrul entităţii cu privire la securitate (cursuri, prezentări, mesaje pe e-mail). B.4.2 Controlul accesului logic

O problemă deosebit de importantă în cadrul unui sistem de management al securităţii este protejarea informaţiilor şi a resurselor aferente sistemelor IT, care nu pot fi controlate uşor numai prin intermediul controalelor fizice. Problema este cu atât mai complicată, cu cât calculatoarele sunt conectate în reţele locale sau în reţele distribuite geografic.

Controalele logice de acces pot exista atât la nivelul sistemului, cât şi la nivelul aplicaţiei. Controalele la nivelul sistemului pot fi utilizate pentru restricţionarea accesului utilizatorilor la anumite aplicaţii şi date şi pentru a restricţiona folosirea neautorizată a utilităţilor sistemelor. Controalele logice de acces sunt adesea utilizate împreună cu controalele fizice de acces pentru a reduce riscul modificării neautorizate a programelor şi a fişierelor de date. Monitorizarea continuă a documentelor (jurnalelor) care înregistrează evenimentele care se referă la accesul logic constituie un factor de creştere a eficienţei controalelor implementate. Eficienţa rapoartelor către conducere şi a registrelor produse de calculatoare este semnificativ redusă dacă nu sunt analizate şi verificate regulat de către conducere.

Controalele accesului logic se vor detalia pe baza declaraţiilor de nivel înalt cuprinse în politica de securitate IT a entităţii.

Tabelul 14

Secţiunea Securitatea informaţiei şi a sistemelor – B.4.2



de audit


Controlul accesului logic

Revizuirea logurilor

Asigurarea că logurile aplicaţiilor importante monitorizate şi analizate periodic (cine, când, cum, dovezi)

Administrarea utilizatorilor

Existenţa unei proceduri pentru



Măsuri Regulamente, Norme

Pag. 59 din 180



de audit

administrarea drepturilor utilizatorilor. Se verifică modul de implementare

Includerea în procedura de mai sus a măsurilor ce trebuie luate în cazul în care un angajat pleacă din cadrul instituţiei

Existenţa unui document (formular pe hârtie sa în format electronic) pentru crearea şi ştergerea conturilor de utilizator şi pentru acordarea, modificarea şi revocarea drepturilor de acces care să fie aprobat de conducere

Acordarea tuturor drepturilor de acces, în baza acestui formular

Verificarea periodică a utilizatorilor activi ai sistemului în concordanţă cu lista de angajaţi furnizată de departamentul Resurse Umane

Reguli pentru parole

Definirea regulilor pentru parole pentru accesul în subsistemele IT Trebuie avute în vedere următoarele:

- lungimea parolei - reguli referitoare la conţinutul

parolei - perioada de valabilitate a

parolei - numărul de încercări până la

blocarea contului - cine poate debloca un cont - numărul de parole precedente

reţinute de către sistem - utilizatorii sunt forţaţi să

schimbe parola la prima accesare?

Control asupra conturilor cu drepturi depline/utilitare de sistem

Alocarea dreptului de administrare pentru aplicaţiile /subsistemele de bază

Alocarea şi autorizarea conturilor cu drepturi depline

Monitorizarea activităţilor utilizatorilor cu drepturi depline

Declaraţii privind securitatea

Tabele de luare la cunoştinţă sau mesaje e-mail

Proceduri asociate

Jurnale de operaţii (log-uri)

Pag. 60 din 180



de audit

Acces IT

Verificarea drepturilor de acces la datele reale pentru programatori

Verificarea drepturilor de acces la datele celorlalte structuri ale entităţii pentru compartimentul IT

Auditorul trebuie să determine prin consultarea documentelor, prin interviu şi prin observare directă (la staţiile de lucru) dacă este implementat cadrul procedural pentru asigurarea controlului accesului logic şi modul de monitorizare a acestuia:

va verifica modul de implementare a regulamentului de control al accesului şi dacă acesta este documentat şi actualizat.

va evalua măsurile de acces logic existente pentru a restricţiona accesul la sistemul de operare, la fişierele de date şi la aplicaţii şi să aprecieze dacă acestea sunt corespunzatoare: meniuri restricţionate pentru utilizatori, coduri unice de identificare şi parole pentru utilizator, revizuirea drepturilor de acces ale utilizatorului, profilul utilizatorului şi al grupului.

va evalua cât de adecvate sunt regulile privind parolele ale entităţii (lungimea parolei, durata / datele de expirare, procedurile de modificare, componenţa parolei, dezafectarea codului de identificare al celor ce pleacă din instituţie, criptarea parolei, înregistrarea şi alocarea de parole noilor utilizatori, punerea în aplicare a regulilor privind parolele.

va efectua teste privind modul de implementare a unor tipuri suplimentare de controale de acces logic: jurnale de operaţii, restricţionarea încercărilor de acces, proceduri şi registre de acces, acces specific în funcţie de terminal, registre de încercări neautorizate, limitarea acceselor multiple, timp automat de expirare, acces restricţionat la utilităţi şi înregistrarea folosirii utilităţilor sistemului şi a instrumentelor de audit, controlul staţiilor de lucru neutilizate.

va evalua măsurile pentru restricţionarea accesului personalului de dezvoltare a sistemului la datele reale (din mediul de producţie) şi la mediul de producţie (programatori, firma dezvoltatoare de software).

va evalua modul de alocare, autorizare, control şi monitorizare a utilizatorilor privilegiaţi (administratori, ingineri de sistem şi programatori de sistem şi de baze de date).

Pag. 61 din 180

B.4.3 Aspectele care se iau în considerare atunci când se examinează controalele privind administrarea securităţii

Tabelul 15

Secţiunea Securitatea informaţiei şi a sistemelor – B.4.3



de audit


Administrarea securităţii

Alocarea responsabilităţii cu privire la administrarea securităţii IT şi definirea în mod formal a sarcinilor administratorului securităţii

Asigurarea separării responsabilităţilor pentru administratorul securităţii

Se verifică dacă aplicarea politicilor de securitate acoperă toate activităţile IT într-un mod consistent




Proceduri


Responsabili

Auditorul trebuie să determine, prin consultarea documentelor şi prin interviu, dacă este implementat cadrul procedural pentru asigurarea controlului administrării securităţii (examinarea documentelor din care rezultă responsabilităţile şi sarcinile cu privire la administrarea securităţii IT, separarea atribuţiilor, reflectarea acestora în politica de securitate).

B.4.4 Aspectele care se iau în considerare atunci când se examinează controalele privind conexiuni externe

Controale de acces slabe măresc riscul atacurilor din partea hackerilor, al viermilor şi al viruşilor care afectează integritatea şi disponibilitatea evidenţelor financiare. Managementul inadecvat al reţelei poate expune organizaţia ameninţărilor interne şi externe cu privire la integritatea datelor. O reţea slab securizată poate, de exemplu, să fie vulnerabilă la difuzarea viruşilor informatici.




de audit


Conexiuni externe

Existenţa unei persoane desemnate pentru administrarea reţelei IT

Măsurile luate pentru monitorizarea reţelei din punct de vedere al securităţii şi performanţei




Pag. 62 din 180



de audit

Modul de protejare a conexiunilor externe împotriva atacurilor informatice (viruşi, acces neautorizat)

Dacă este permis accesul la sistem unor organizaţii externe (ex. Internet, conexiuni on-line)

Se verifică existenţa unor proceduri de control privind accesul de la distanţă şi măsurile de securitate aplicate

Proceduri


Auditorul trebuie să determine, prin consultarea documentelor şi prin interviu, dacă este implementat cadrul procedural pentru asigurarea controlului reţelei: existenţa unei persoane desemnate pentru administrarea reţelei IT, măsurile luate pentru monitorizarea securităţii reţelei, pentru protejarea conexiunilor externe împotriva atacurilor informatice (viruşi, acces neautorizat), reglementarea accesului la sistem din partea unor organizaţii externe (de exemplu, Internet, conexiuni on-line), existenţa unor proceduri de control privind accesul de la distanţă şi măsurile de securitate aplicate.

B.4.5 Aspectele care se iau în considerare atunci când se examinează controalele de reţea şi de utilizare a Internetului

Extinderea reţelei Internet a scos în evidenţă şi a impus cerinţe, concepte şi riscuri noi, care au avut consecinţe privind securitatea sistemelor şi controalele asociate. Întrucât conectarea sistemelor în reţele comportă riscuri specifice, reţeaua trebuie controlată astfel încât să poată fi accesată numai de către utilizatorii autorizaţi, iar datele transmise să nu fie pierdute, alterate sau interceptate.

Cele mai relevante controale de reţea şi de utilizare a Internetului, pe care entităţile trebuie să le implementeze, sunt:

a) Controalele privind erorile de transmisie şi de comunicaţie: se referă la erorile care pot să apară în fiecare stadiu al ciclului comunicaţiei, de la introducerea datelor de către utilizator, continuând cu transferul până la destinaţie. b) Controalele de reţea c) Controalele de utilizare a Internetului

Implicaţiile privind securitatea şi controlul, care decurg din conectarea la Internet a unei entităţí sunt:

a) Implicaţiile privind securitatea decurg din: caracterul anonim al unor utilizatori care vor să contravină principiilor accesului în Internet, vulnerabilitatea confidenţialităţii prin interceptarea parolei cu ajutorul unor programe specializate în cursul înregistrării pe anumite site-uri, acţiunile hackerilor, pirateria şi pornografia, software rău intenţionat (viruşi, programe "cal troian").

b) Protecţia securităţii: educarea utilizatorilor proprii privind consecinţele unui comportament neadecvat sau ale neglijării unor precauţii legate de utilizarea

Pag. 63 din 180

reţelei Internet, utilizarea serviciilor unui provider în locul conexiunii fizice la Internet, în scopul evitării expunerii directe a sistemului de calcul propriu la atacuri din reţeaua Internet.




de audit


Controale privind erorile de transmisie şi de comunicaţie

Se verifică implementarea controalelor pentru fiecare stadiu al ciclului comunicaţiei în parte, de la introducerea datelor de către utilizator, continuând cu transferul până la destinaţie




Proceduri


Controale de reţea

Elaborare şi implementarea Politicii de securitate a reţelei, care poate face parte din politica generală de securitate IT

Existenţa standardelor de reţea, a procedurilor şi instrucţiunilor de operare, care trebuie să se bazeze pe politica de securitate a reţelei şi a documentaţiei aferente

Existenţa documentaţiei reţelei care descrie structura logică şi fizică a reţelei

Existenţa cadrului procedural privind controalele accesului logic: procedura de conectare, reguli privind parolele, permisiile de acces la resursele sistemului, restricţiile privind utilizarea resurselor externe (de exemplu este restricţionat accesul în reţeaua Internet)

Reţeaua trebuie să fie controlată şi administrată de personal cu instruire şi experienţă adecvate, monitorizat de management;

Implementarea unei proceduri pentru întreţinerea jurnalelor de operaţii de către sistemul de operare


Politica de securitate a reţelei şi procedurile asociate Standarde de reţea, proceduri şi instrucţiuni de operare Documentaţia reţelei Jurnale de operaţii Documentaţii tehnice Probe de audit fizice: observare, demonstraţii, teste

Pag. 64 din 180



de audit

al reţelei, precum şi pentru revizuirea periodică în scopul depistării activităţilor neautorizate

Utilizarea unor instrumente utilitare pentru managementul şi monitorizarea reţelei (pachete software sau echipamente hardware), disponibile pentru administratorii de reţea. Acestea pot monitoriza utilizarea reţelei şi a capacităţii acesteia şi pot inventaria produsele software utilizate de către fiecare utilizator;

Monitorizarea accesului furnizorilor de servicii şi al consultanţilor

Restricţionarea terminalelor prin intermediul codurilor de terminal sau a al adresei de reţea

Implementarea unor algoritmi de încriptare a datelor pentru protejarea în cazul interceptării în reţea

Utilizarea liniilor private sau dedicate pentru reducerea riscului de intercepţie

Controale de bază în reţeaua Internet

Implementarea unui cadru procedural pentru minimizarea consecinţelor negative generate de conexiunea directă la Internet care presupune: - Izolarea fizică a calculatorului legat la Internet, de sistemul de calcul al entităţii; - Desemnarea unui administrator cu experienţă şi de încredere pentru supravegherea calculatoarelor cu acces la Internet; - Prevenirea accesului anonim sau, dacă trebuie să fie permis, eliminarea efectelor negative ale acestuia; - Ştergerea tuturor datelor şi programelor care nu sunt necesare, de pe calculatorul cu acces la Internet; - Monitorizarea atacurilor prin înregistrarea lor; - Crearea unui număr cât mai mic


Politica de securitate şi procedurile asociate


Documentaţii tehnice privind soluţia Internet


Responsabili

Pag. 65 din 180



de audit

posibil de conturi de utilizator pe calculatorul cu acces la Internet şi schimbarea regulată a parolelor;

Includerea în configuraţie a unei protecţii de tip "firewall" pentru a facilita controlul traficului între reţeaua entităţii şi Internet şi pentru a stopa penetrarea pachetelor externe neautorizate

Implementarea unei politici adecvate privind parolele pentru securitatea calculatoarelor conectate la Internet care să prevadă: utilizarea parolelor ascunse, utilizarea unui algoritm nestandard de încriptare a parolelor, etc.

Încriptarea informaţiilor transmise în reţeaua Internet

Utilizarea unor servicii de poştă electronică perfecţionate, dezvoltate pentru a asigura confidenţialitatea şi integritatea mesajelor transmise, prin încriptare şi prin semnare electronică

Utilizarea unor instrumente de evaluare a securităţii utilizate pentru analiza şi evaluarea securităţii reţelelor, raportând slăbiciunile acestora în ceea ce priveşte controlul accesului sau regulile pentru parole

Auditorul trebuie să determine, prin consultarea documentelor şi prin interviu, dacă este implementat cadrul procedural pentru asigurarea că reţeaua este controlată astfel încât să poată fi accesată numai de către utilizatorii interni sau externi autorizaţi, iar datele transmise să nu fie pierdute, alterate sau interceptate: implementarea unei politici de securitate a reţelei, utilizarea standardelor de reţea, a procedurilor şi a instrucţiunilor de operare asociate acestei politici, existenţa şi disponibilitatea documentaţiei aferente cadrului procedural şi a documentaţiei reţelei (care descrie structura logică şi fizică a reţelei), implementarea controalelor accesului logic (procedura de conectare, reguli privind parolele, permisiile de acces la resursele sistemului), stabilirea unor reguli privind utilizarea resurselor externe, existenţa unui personal cu instruire şi experienţă adecvate, înregistrarea automată în jurnalele de operaţii şi revizuirea periodică a acestora pentru a se depista activităţile neautorizate, utilizarea unor instrumente software/hardware pentru managementul şi monitorizarea reţelei, monitorizarea accesului furnizorilor de servicii şi al consultanţilor, criptarea datelor.

Pag. 66 din 180

Auditorul trebuie să determine, prin consultarea documentelor şi prin interviu, dacă este implementată o politică pentru minimizarea consecinţelor negative generate de conexiunea directă la Internet, care să abordeze aspectele prezentate mai sus: protecţie firewall, administrator cu experienţă şi de încredere pentru supravegherea calculatoarelor cu acces la Internet, politica privind parolele, încriptarea, Instrumentele de evaluare a securităţii utilizate, serviciile de poştă electronică perfecţionate, monitorizarea atacurilor.

PROCEDURA B5 - Continuitatea sistemelor

Managementul continuităţii sistemelor are ca obiectiv principal menţinerea integrităţii datelor entităţii prin intermediul unor servicii operaţionale şi al unor facilităţi de prelucrare şi, dacă este necesar, furnizarea unor servicii temporare până la reluarea serviciilor întrerupte.

În scopul eliminării riscului unor defecţiuni majore generate de sistemul IT, trebuie implementate controale adecvate, astfel încât entitatea să poată relua în mod eficient operaţiunile, într-o perioadă de timp rezonabilă, în cazul în care funcţiile de prelucrare nu mai sunt disponibile. Aceasta presupune, în principal, întreţinerea şi gestionarea copiilor de siguranţă ale datelor şi sistemelor, implementarea unor politici pentru managementul datelor şi al problemelor, planificarea continuităţii, protecţia împotriva viruşilor. B.5.1 Menţinerea copiilor de siguranţă (backup) ale datelor şi sistemelor şi managementul datelor

Menţinerea copiilor de siguranţă este o cerinţă esenţială pentru asigurarea continuităţii sistemelor informatice, întrucât deteriorarea fondului de date sau a programelor ar compromite întregul sistem şi, implicit, activităţile care se bazează pe rezultatele furnizate de acesta. Pentru eliminarea acestui risc este necesară elaborarea şi aplicarea unei proceduri formale de salvare / restaurare, şi de conservare a copiilor, care să precizeze: conţinutul copiei, tipul suportului, frecvenţa de actualizare, locul de stocare. De asemenea, se impune elaborarea unor proceduri de testare a copiilor de rezervă şi de recuperare a sistemului în caz de incident, precum şi evaluarea timpului necesar restaurării datelor / sistemelor în caz de incident.

Managementul eficient al datelor presupune: identificarea cerinţelor de date, stabilirea procedurilor eficiente pentru a gestiona colecţiile de date, copiile de siguranţă/backup şi recuperarea datelor precum şi distribuirea eficientă a acestora pe suporturile de informaţii. Un management eficient al datelor ajută la asigurarea calităţii, aranjării cronologice şi disponibilităţii datelor.

Tabelul 18 Secţiunea Continuitatea sistemelor – B.5.1



de audit

CONTINUITATEA SISTEMELOR

Copii de siguranţă (back-up) ale datelor, aplicaţiilor şi sistemelor

Implementarea unei proceduri formale de salvare (back-up) care să specifice:

- tip de copie (automată/manuală)


Proceduri de salvare/ restaurare, testare a copiilor de siguranţă

Pag. 67 din 180



de audit

- frecvenţa copiilor de siguranţă - conţinutul copiei (date,

aplicaţii, sisteme, complet/incremental)

- locul de stocare a copiei/copiilor

- tipul de suport - alte comentarii.

Existenţa unei proceduri de testare a copiilor de siguranţă. Frecvenţa şi modul de evidenţiere

Implementarea unei proceduri de recuperare / restaurare

Efectuarea de către entitate a unor analize cu privire la timpul necesar restaurării datelor /aplicaţiilor/ sistemului

Măsuri Regulamente, Norme Probe de audit fizice: observare, Inspecţie, demonstraţii Scenarii de testare

Managementul datelor

Au fost identificate cerinţele de date, sunt stabilite proceduri eficiente pentru a gestiona colecţiile de date, copiile de siguranţă/backup şi recuperarea datelor, precum şi distribuirea eficientă şi aranjarea cronologică a acestora pe suporturile de informaţii Sunt stabilite aranjamente privind depozitarea şi păstrarea datelor Este reglementat sistemul de management al bibliotecii media Sunt stabilite proceduri referitoare la eliminarea datelor perimate Sunt stabilite cerinţe şi proceduri de securitate pentru managementul datelor


Proceduri pentru managementul datelor Probe de audit fizice: observare, inspecţie, demonstraţii, teste

Auditorul va examina procedurile şi modul de implementare a controalelor referitoare la următoarele obiective de control:

Implementarea unei proceduri formale de salvare (back-up) care să specifice: Existenţa unei proceduri de testare a copiilor de siguranţă. Frecvenţa şi modul de

evidenţiere; Implementarea unei proceduri de recuperare / restaurare;

Pag. 68 din 180

Implementarea unor proceduri formale pentru managementul datelor; Efectuarea de către entitate a unor analize cu privire la timpul necesar restaurării

datelor / aplicaţiilor / sistemului.

B.5.2 Managementul capacităţii Nevoia de a gestiona performanţa şi capacitatea resurselor IT necesită un proces de revizuire periodică a performanţei actuale şi a capacităţii resurselor IT. Acest proces include previziunea nevoilor viitoare bazate pe volumul de prelucrare, stocare şi cerinţele de urgenţă. Acest proces oferă siguranţa că resursele informaţionale care susţin cerinţele afacerii sunt disponibile continuu. Managementul capacităţii se bazează pe analiza capacităţii configuraţiei disponibile de a face faţă cerinţelor sistemelor sau aplicaţiilor prin prisma unor criterii de performanţă stabilite. Concluziile formulate constituie suport pentru decizii privind: măsuri referitoare la eliminarea îngustărilor de trafic, optimizarea configurării reţelelor şi / sau sistemelor, reproiectări ale fluxurilor, elaborarea unor grafice de utilizare, extinderea configuraţiilor sau înlocuirea acestora.




de audit


Managementul performanţei şi al capacităţii

Entitatea a implementat un cadru procedural referitor la: planificarea performanţei şi capacităţii, evaluarea performanţei şi capacităţii actuale şi viitoare, monitorizare şi raportare

Efectuarea de către entitate a unor analize privind capacitatea pentru hardware şi pentru reţea cu o periodicitate stabilită

Efectuarea de către entitate a unor analize privind performanţa şi capacitatea aplicaţiilor IT. Indicatori avuţi în vedere

Efectuarea de către entitate a unor analize privind gâtuirile de trafic. Detalii


Proceduri referitoare la: planificarea performanţei şi capacităţii, evaluarea performanţei şi capacităţii actuale şi viitoare, monitorizare şi raportare

Scenarii de testare Responsabili


Implementarea unui cadru procedural referitor la: planificarea performanţei şi capacităţii, evaluarea performanţei şi capacităţii actuale şi viitoare, monitorizare şi raportare;

Pag. 69 din 180

Efectuarea de către entitate a unor analize privind capacitatea pentru hardware şi pentru reţea, precum şi periodicitatea acestor analize;

Efectuarea de către entitate a unor analize privind performanţa şi capacitatea aplicaţiilor IT şi indicatorii avuţi în vedere;

Efectuarea de către entitate a unor analize privind gâtuirile de trafic. Detalierea problemelor.

B.5.3 Managementul problemelor

Managementul eficace al problemelor cere identificarea şi clasificarea problemelor, analiza cauzelor primare şi a soluţiilor propuse pentru acestea. Procesul de management al problemelor include de asemenea formularea recomandărilor pentru îmbunătăţire, păstrarea inregistrărilor cu privire la probleme şi analiza stării acţiunilor corective. Un management eficace al problemelor maximizează disponibilitatea sistemului, îmbunătăţeşte nivelul serviciilor, reduce costurile şi sporeşte confortul şi satisfacţia clienţilor. Managementul problemelor are ca scop depistarea şi soluţionarea problemelor apărute în funcţionarea sistemului informatic pe întreaga durată de viaţă a acestuia prin asigurarea unui cadru procedural care să impună: (a) modul de detectare, semnalare, comunicare, înregistrare, rezolvare şi urmărire a problemelor, (b) analiza şi verificarea modului de rezolvare, etapele care se parcurg, precum şi (c) documentele utilizate (registrul problemelor, lista problemelor rămase deschise sau care se repetă frecvent).

Pentru a răspunde la timp şi eficient cerinţelor utilizatorilor din IT este nevoie de un proces bine structurat de management al incidentelor şi de suport tehnic. Acest proces include stabilirea unei funcţiuni de Service Desk / Help Desk pentru înregistrarea incidentelor, analiza tendinţei şi cauzelor problemelor, precum şi pentru rezolvarea lor. Beneficiile obţinute includ creşterea productivităţii prin rezolvarea mai rapidă a cerinţelor utilizatorilor. Mai mult, se pot evidenţia cauzele problemelor (cum ar fi lipsa de instruire), printr-o raportare eficientă.

Tabelul 20

Secţiunea Continuitatea sistemelor – B.5.3



de audit


Managementul problemelor

Implementarea unui cadru procedural care să trateze următoarele aspecte:

- Modul în care se semnalează compartimentului IT apariţia problemelor;

- Cum se ţine evidenţa problemelor în cadrul compartimentului IT (registru al problemelor sau o altă


Proceduri referitoare la managementul problemelor

Proceduri referitoare la Service Desk/ Help Desk:

Pag. 70 din 180



de audit

formă de evidenţă);

- Implementarea funcţiei Helpdesk;

- Etapele care trebuie urmate pentru rezolvarea problemelor;

- Verificarea şi analiza listei de probleme de către conducere;

- Implementarea unei proceduri de urmărire a problemelor rămase deschise;

- Implementarea unei proceduri pentru situaţia nerezolvării problemei;

- Responsabilitatea documentării şi aducerii la cunoştinţa celor direct implicaţi a acestor proceduri

Integrarea managementului configuraţiei, incidentelor şi al problemelor

înregistrarea cerinţelor clienţilor, înregistrarea incidentelor, închiderea unui incident, raportarea şi analiza tendinţelor


Implementarea unui cadru procedural care să trateze următoarele aspecte:

- Modul în care se semnalează compartimentului IT apariţia problemelor;

- Cum se ţine evidenţa problemelor în cadrul compartimentului IT (registru al problemelor sau o altă formă de evidenţă);

- Implementarea funcţiei Service Desk/ Help Desk;

- Etapele care trebuie urmate pentru rezolvarea problemelor;

- Verificarea şi analiza listei de probleme de către conducere;

- Implementarea unei proceduri de urmărire a problemelor rămase deschise;

- Implementarea unei proceduri pentru situaţia nerezolvării problemei.

Responsabilitatea documentării şi aducerii la cunoştinţa celor direct implicaţi a acestor proceduri.

Integrarea managementului configuraţiei, incidentelor şi al problemelor.

B.5.4 Planificarea continuităţii

Nevoia asigurării continuităţii serviciilor IT necesită dezvoltarea, menţinerea şi testarea planurilor de continuitate IT, utilizarea amplasamentelor externe de stocare a copiilor de backup şi oferirea unui plan de instruire continuu. Un proces eficient de asigurare a continuităţii serviciilor reduce probabilitatea şi impactul unei întreruperi majore a serviciilor IT asupra funcţiilor şi proceselor cheie ale afacerii.

Pag. 71 din 180

Planificarea continuităţii proceselor IT presupune existenţa unui astfel de plan, documentat corespunzător, de continuitate a afacerii şi, în particular, a operaţiunilor IT. Planul de continuitate a activităţii reprezintă un control corectiv semnificativ. Pentru elaborarea unui plan extensiv, care să răspundă gamei largi de probleme asociate continuităţii proceselor IT sunt necesare atât aptitudini cât şi disponibilitatea unei metodologii care să ofere cadrul procedural pentru toată problematica abordată: definirea obiectivelor, agrearea bugetului, definirea proceselor, alocarea resurselor, stabilirea termenelor şi a responsabilităţilor, aprobare.

Elaborarea planului are la bază o analiză detaliată a impactului pe care l-ar genera lipsa sistemului IT asupra afacerii, în scopul reducerii riscurilor. Sunt examinate, de asemenea, măsurile de prevenire a dezastrului pentru a opera perfecţionarea acestor măsuri. Pe baza analizelor şi informaţiilor preliminare, se realizează dezvoltarea planului de continuitate, care va fi implementat, testat prin simulări periodice şi actualizat în funcţie de schimbările impuse de rezultatele simulărilor. Planul de continuitate trebuie să fie făcut cunoscut personalului implicat în procesele IT.

Conţinutul unui plan de continuitate poate varia în funcţie de circumstanţe, dar, în general, include următoarele secţiuni: secţiunea administrativă, contracte suport, operarea calculatoarelor privind recuperarea proceselor cheie IT, infrastructura IT necesară recuperării şi procedurile asociate, locaţia de back-up, identificarea locului unde sunt stocate arhivele cu suporţi tehnici care conţin salvările şi procedura de obţinere a accesului la acestea, personalul implicat în procesul de recuperare în caz de dezastru (personal propriu sau extern), stabilirea sediului provizoriu (pentru cazul în care dezastrul a fost extensiv şi a necesitat evacuări), revenirea la normal (lista detaliată a responsabilităţilor echipelor implicate în restabilirea condiţiilor normale de activitate).




de audit


Planificarea şi asigurarea continuităţii serviciilor

Existenţa unui cadru de referinţă pentru continuitatea IT

Stabilirea resurselor IT critice

Întreţinerea planului de continuitate IT

Implementarea unui plan privind asigurarea continuităţii activităţii entităţii şi, în particular, a operaţiunilor IT

Testarea cu regularitate a planului de continuitate. Periodicitate

Instruirea privind planul de continuitate IT

Recuperarea şi reluarea serviciilor IT

Stocarea externă a copiilor de


Cadrul de referinţă pentru continuitatea IT Planul de continuitate a activităţii Cadrul procedural referitor la continuitatea IT

Pag. 72 din 180



de audit

siguranţă

Revizia post-reluare

Auditorul va examina procedurile şi controalele privind la cadrul de referinţă pentru continuitatea IT, la existenţa, implementarea, urmărirea şi testarea cu regularitate a planului privind asigurarea continuităţii activităţii entităţii şi, în particular, a operaţiunilor IT. B.5.5 Managementul operaţiunilor IT Procesarea completă şi exactă a datelor necesită un management eficient al procedurilor de prelucrare a datelor şi o întreţinere temeinică a hardware-ului. Acest proces include definirea politicilor de operare şi a procedurilor pentru gestionarea eficientă a prelucrărilor programate, protejând datele de ieşire sensibile, monitorizând performanţa infrastructurii şi asigurând întreţinerea preventivă a hardware-ului. Gestionarea eficientă a operaţiunilor ajută la menţinerea integrităţii datelor şi reduce întârzierile şi costurile de exploatare IT.

Procedurile operaţionale IT furnizează asigurarea că sistemele de aplicaţii sunt disponibile la momentele programate, operează în concordanţă cu cerinţele, iar rezultatele prelucrărilor sunt produse la timp.

Controalele operaţionale reduc riscurile adoptării unor practici de lucru necorespunzătoare într-un departament IT. Practicile de lucru necorespunzătoare pot afecta auditul financiar întrucât utilizarea calculatorului constituie baza pentru întocmirea situaţiilor financiare. Punctele slabe din mediul de operare ar putea fi exploatate pentru a rula programe neautorizate şi a efectua modificări ale datelor financiare. Operarea pe calculator trebuie să asigure o procesare exactă, corespunzătoare a datelor financiare. Controlul neadecvat asupra operatorilor la calculator creşte riscul acţiunilor neautorizate. Operatorii nesupravegheaţi pot face uz de utilităţile sistemului pentru a efectua modificări neautorizate ale datelor financiare. Experienţa şi pregătirea neadecvată a personalului măreşte riscul comiterii de greşeli în departamentul IT. Greşelile pot conduce la orice efect, de la căderea sistemului, până la ştergerea datelor unei perioade. Întreţinerea neadecvată a echipamentului informatic poate cauza probleme de disponibilitate a aplicaţiilor, iar disfuncţiile sistemului pot conduce la date eronate. Registrele de procesare pot reduce riscurile unei activităţi neautorizate. Pot fi utilizate de asemenea pentru determinarea extensiei erorilor de procesare. Documentaţia slabă sau lipsa acesteia pot cauza probleme cum ar fi: indisponibilitatea sistemului, pierderea integrităţii datelor sau întârzieri în recuperarea acestora după eliminarea defectelor din sistem.

Pag. 73 din 180




de audit


Managementul operaţiunilor IT

Proceduri operaţionale IT

Implementarea unui cadru procedural care să conţină următoarele proceduri operaţionale:

- Proceduri la început de zi / sfârşit de zi, dacă e cazul

- Proceduri de recuperare sau restaurare

- Instalare de software şi hardware

- Raportarea incidentelor

- Rezolvarea problemelor

Stabilirea unui responsabil cu actualizarea procedurilor operaţionale IT

Protecţia împotriva viruşilor

Implementarea unei proceduri privind utilizarea unei soluţii antivirus care să ofere asigurarea privind:

Aplicarea soluţiei antivirus tuturor serverelor şi staţiilor de lucru;

Actualizarea fişierului de definiţii antivirus

Interdicţia dezactivării software-ul antivirus de către utilizatori la staţia lor de lucru;

Software-ul antivirus scanează toate fişierele (pe server şi staţiile de lucru) automat în mod periodic


Planul de continuitate a activităţii Cadrul procedural pentru managementul operaţiunilor IT Procedura privind utilizarea unei soluţii antivirus

Auditorul va examina procedurile şi modul de implementare a controalelor privind operaţiunile IT: existenţa unui manager de reţea, existenţa unui acord privind nivelul de servicii între departamentul informatică şi restul organizaţiei, respectiv cu utilizatorii sistemului (care să acopere disponibilitatea serviciilor, standardele de servicii etc.), existenţa unor proceduri şi măsuri de supraveghere a personalului de operare a calculatoarelor şi care asigură suport tehnic, pregătirea şi experienţa personalului de operare, modalitatea şi calitatea întreţinerii calculatoarelor (întreţinere prin mijloace poprii sau de către furnizori

Pag. 74 din 180

externi), existenţa, utilizarea şi monitorizarea jurnalelor de operaţii (pentru a detecta activităţi neuzuale sau neautorizate sau pentru a monitoriza utilizarea facilităţilor sistemului de operare), documentarea adecvată a procedurilor (proceduri de supraveghere, proceduri de procesare, proceduri de operare, managementul incidentelor, managementul suporţilor de memorare (benzi, discuri, CD, DVD). Auditorul va examina soluţia de implementare a protecţiei antivirus . B.5.6 Managementul configuraţiilor IT Managementul configuraţiilor presupune asigurarea contextului hardware / software stabil care să susţină funcţionalitatea continuă a sistemului informatic şi, implicit, activităţile entităţii auditate. Se verifică dacă este prevăzută şi este operaţională menţinerea configuraţiilor echipamentelor IT şi ale aplicaţiilor, în mod formal, în alte locaţii decât sediul sistemelor.




de audit


Managementul configuraţiilor IT

Menţinerea în mod formal a configuraţiilor echipamentelor IT şi ale aplicaţiilor, şi în alte locaţii decât sistemele de producţie; Utilizarea unor măsuri de protecţie

Implementarea unor proceduri care să ofere asigurarea că sunt îndeplinite următoarele condiţii:

- Configuraţiile sunt actualizate, comprehensive şi complete;

- Manualele de instalare/utilizare sunt actualizate în concordanţă cu ultima versiune de sistem;

- Se realizează o gestiune a versiunilor programelor şi documentaţiei, iar personalul utilizator ştie care sunt cele mai noi versiuni ale programelor şi ale documentaţiei


Planul de continuitate a activităţii Cadrul procedural referitor la: configuraţii, documentaţia tehnică de instalare / utilizare, gestiunea versiunilor programelor şi documentaţiei, personalul utilizator

Auditorul va examina procedurile şi controalele privind existenţa şi implementarea procedurilor specifice managementului configuraţiilor:

Menţinerea în mod formal a configuraţiilor echipamentelor IT şi ale aplicaţiilor şi în alte locaţii decât sediul sistemelor de producţie; utilizarea unor măsuri de protecţie;

Pag. 75 din 180

Implementarea unor proceduri care să ofere asigurarea că sunt îndeplinite condiţiile referitoare la: configuraţii, documentaţia tehnică de instalare / utilizare, gestiunea versiunilor programelor şi documentaţiei, personalul utilizator.

PROCEDURA B6 - Externalizarea serviciilor IT

Nevoia de siguranţă că serviciile de la terţi (furnizori, vânzători şi parteneri) satisfac cerinţele afacerii implică un proces efectiv de management al părţii terţe. Acest proces este realizat prin definirea clară a rolurilor, reponsabilităţilor şi aşteptărilor în acordurile cu părţile terţe, precum şi prin revizuirea şi monitorizarea acestor acorduri în vedera asigurării eficacităţii şi conformităţii. Managementul efectiv al serviciilor de la terţi minimizează riscul afacerii asociat furnizorilor neperformanţi.

Având în vedere că activitatea IT nu este activitatea principală într-o entitate şi că managementul se concentrează în primul rând pe obiectivele afacerii, tendinţa principală privind asigurarea serviciilor IT este de a utiliza furnizori externi de servicii IT, soluţie care în majoritatea cazurilor contribuie şi la reducerea costurilor. Necesitatea unor colaborări, a furnizării unor servicii de tehnologia informaţiei (Internet, instruire, asistenţă tehnică, întreţinere, etc.) determină externalizarea acestor activităţi prin încheierea de contracte semnate cu furnizorii acestor servicii. Având în vedere că astfel de relaţii contractuale sunt purtătoare de riscuri (atât sub aspect valoric, cât şi la nivelul funcţionalităţii şi securităţii sistemului), auditorul trebuie să evalueze implicaţiile ce decurg din clauzele contractuale privind confidenţialitatea, formele de asigurare a suportului şi asistenţei tehnice, valorile contractuale pentru asistenţă tehnică şi întreţinere, dependenţa faţă de furnizor, ţinând seama de natura serviciilor.

Tabelul 24 Externalizarea serviciilor IT – B6



de audit

EXTERNALIZAREA SERVICIILOR IT

Externalizarea serviciilor IT

Există o politică de externalizare a activităţilor IT (existenţa unor colaboratori, furnizori de servicii IT, etc.) bazată pe: identificarea relaţiilor cu toţi furnizorii, managementul relaţiilor cu furnizorii, managementul riscului asociat furnizorilor

Includerea de clauze de tip SLA (Service Level Agreement) în contractele cu furnizorii de servicii

Includerea clauzelor de confidenţialitate în contractele cu furnizorii de servicii

Este monitorizată performanţa furnizorului

Se efectuează o analiză privind nivelul de dependenţă faţă de furnizor


Politică de externalizare a activităţilor IT Contractele cu furnizorii IT Rapoarte de evaluare

Pag. 76 din 180

Auditorul va examina în primul rând politicile şi procedurile care asigură securitatea datelor entităţii. Clauzele existente în contractele semnate cu furnizorii oferă o primă imagine privind eventualitatea apariţiei unor riscuri în cazul neincluderii unor controale adecvate. De asemenea, auditorul va evalua politica de externalizare a activităţilor IT, precum şi modul în care organizaţia monitorizează prestaţia furnizorilor externi de servicii, atât în ceea ce priveşte aspectele legate de securitate, cât şi cele legate de calitatea serviciilor. Monitorizarea neadecvată măreşte riscul ca procesarea inexactă sau incompletă să rămână nedetectată. Examinarea contractelor de prestări servicii va acoperi toate problemele importante: performanţa (SLAs), securitatea, proprietatea asupra datelor, accesul la datele clientului, disponibilitatea serviciului, planificarea pentru situaţiile de urgenţă. Auditorul trebuie să obţină asigurarea că furnizorul extern de servicii IT a realizat o procesare exactă şi completă. Auditorul va putea obţine asigurarea prin inspecţie personală sau prin obţinerea asigurării unei terţe părţi independente.

PROCEDURA B7 - Managementul schimbării şi al dezvoltării de sistem

Managementul schimbării şi al dezvoltării sistemului are ca obiectiv important implementarea unor politici, proceduri şi controale în scopul asigurării că sistemele sunt disponibile când sunt necesare, funcţionează conform cerinţelor, sunt fiabile, controlabile şi necostisitoare, au un control sigur al integrităţii datelor şi satisfac nevoile utilizatorilor.

Controalele schimbării sunt necesare pentru a asigura continuitatea sistemului în conformitate cu cerinţele impuse şi pot varia considerabil de la un tip de sistem la altul.

Când este evaluat acest domeniu, se pun următoarele întrebări: Dacă există perspective ca noile proiecte să ofere soluţii care să răspundă nevoilor

afacerii; Dacă noile proiecte au şanse să fie duse la bun sfârşit, în timpul şi cu bugetul

prevăzute; Dacă noile sisteme vor funcţiona după implementare; Dacă este posibil ca schimbările să aibă loc fără a perturba activităţile curente ale

afacerii/organizaţiei.

Schimbările se referă la hardware (calculatoare, periferice, reţele), la software (sisteme de operare, utilitare) şi la aplicaţiile individuale. Scara schimbărilor poate diferi considerabil: de la proceduri aferente unor funcţii dedicate, la instalarea unor versiuni noi de aplicaţii sau sisteme de operare. Indiferent de mărimea sau scara schimbărilor, efectele asupra operării sistemului trebuie să fie minime pentru a nu perturba activitatea curentă a entităţii.

Controalele managementului schimbărilor sunt implementate pentru a se asigura că modificările aduse unui sistem informatic sunt corespunzător autorizate, testate, acceptate şi documentate. Controalele slabe pot antrena din schimbări care pot conduce la modificări accidentale sau de rea credinţă aduse programelor şi datelor. Schimbările de sistem insuficient pregătite pot altera informaţiile financiare şi pot întrerupe parcursul de audit.

Schimbarea sistemului presupune procurarea resurselor. Resursele IT, incluzând echipamente hardware, software, servicii şi personal, trebuie să fie achiziţionate. Acest

Pag. 77 din 180

lucru necesită definirea şi punerea în aplicare a procedurilor de achiziţii, selectarea distribuitorilor, configurarea aranjamentelor contractuale, precum şi achiziţia în sine. Se asigură astfel obţinerea de către organizaţie a tuturor resursele IT într-un timp util şi în mod eficient.

Toate schimbările, incluzând cele de întreţinere urgentă şi pachetele, referitoare la infrastructura şi aplicaţiile din mediul de producţie sunt administrate formal şi într-o manieră controlată. Schimbările (inclusiv acelea ale procedurilor, proceselor, sistemelor şi parametrilor de servicii) sunt înregistrate, evaluate şi autorizate înainte de implementare şi revizuite în comparaţie cu rezultatul aşteptat după implementare. Aceasta asigură reducerea riscurilor care afectează stabilitatea şi integritatea mediului de producţie.

Noile sisteme trebuie să devină operaţionale odată ce dezvoltarea lor este completă. De aceea, sunt necesare următoarele: testare adecvată într-un mediu dedicat, cu date de test relevante; definirea instrucţiunilor de distribuţie şi migrare; planificarea pachetelor de distribuţie şi promovarea în producţie, precum şi o revizuire post-implementare. Astfel se asigură că sistemele operaţionale răspund aşteptărilor şi rezultatelor agreate.

Aplicaţiile sunt puse la dispoziţie în conformitate cu cerinţele afacerii. Acest proces ia în considerare arhitectura aplicaţiilor, includerea corectă a cerinţelor de control şi securitate ale aplicaţiei precum şi dezvoltarea şi configurarea în conformitate cu standardele. Acest proces permite organizaţiilor să susţină în mod corespunzător operaţiunile economice cu ajutorul aplicaţiilor automatizate potrivite.

Organizaţiile au procese pentru achiziţia, implementarea şi actualizarea infrastructurii tehnologice. Aceasta necesită o abordare planificată pentru achiziţia, întreţinerea şi protecţia infrastructurii, în conformitate cu strategiile tehnologice agreate şi pregătirea mediilor de dezvoltare şi testare. Acest proces asigură existenţa unui suport tehnic continuu pentru aplicaţiile economice.

Tabelul 25 Secţiunea Managementul schimbării şi al dezvoltării de sistem – B7



de audit

MANAGEMENTUL SCHIMBĂRII ŞI AL DEZVOLTĂRII DE SISTEM

Politici privind schimbarea sau dezvoltarea sistemului şi procedurile asociate

Implementarea unor politici, proceduri şi controale în scopul asigurării că sistemele sunt disponibile când sunt necesare, funcţionează conform cerinţelor, sunt fiabile, controlabile şi necostisitoare, au un control sigur al integrităţii datelor şi satisfac nevoile utilizatorilor

Managementul schimbării proceselor afacerii - Iniţierea modificării sau dezvoltării sistemului IT, - Alocarea corectă a investiţiilor în hardware, software şi servicii IT, - Asigurarea că se realizează


Politici privind schimbarea/ dezvoltarea sistemului şi procedurile asociate

Standardele şi procedurile pentru schimbare

Contractele cu furnizorii IT


Pag. 78 din 180



de audit

armonizarea necesităţilor afacerii cu schimbările IT, - Documentarea procedurilor şi a activităţilor (formular pentru cereri, - Evidenţa modificărilor efectuate) şi competenţele de aprobare

Managementul schimbărilor tehnice - Integrarea de componente noi, - Înlocuirea unor componente, - Schimbarea versiunii sistemului - Implementarea schimbărilor tehnice în mediul de test, de producţie, de dezvoltare - Implementarea modificărilor solicitate în regim de urgenţă

Metodologia de dezvoltare

- Procedurile trebuie să se aplice într-un mod consistent tuturor proiectelor de dezvoltare, având ataşate şi cazuri predefinite de testare. Lipsa unei metodologii de dezvoltare a proiectelor implică un risc ridicat asupra sistemului

Managementul proiectelor - Metodologia de management al proiectelor utilizată, - Existenţa procedurilor specifice proiectelor IT, - Monitorizarea periodică a stadiului proiectelor IT

Implicarea utilizatorilor în etapele procesului de dezvoltare a proiectului - Specificarea cerinţelor, - Testarea programelor, - Acceptarea sistemului, - Instruirea personalului, - Elaborarea documentaţiei, etc..

Managementul calităţii - Are un impact semnificativ asupra componentelor informatice dezvoltate, asupra sistemului în general şi, implicit, asupra activităţii entităţii

Documentarea procedurilor şi a funcţionării sistemului - Facilitatea operării de către utilizatori la nivel de aplicaţie, cât şi

Pag. 79 din 180



de audit

pentru asigurarea funcţionalităţii la nivel de sistem. Existenţa manualelor de utilizare reprezintă o cerinţă minimală

Implementarea unor proceduri de control al schimbării - Proceduri privind autorizarea de către management; - Testarea software-ului modificat înainte de a fi utilizat în mediul de producţie; - Examinări din partea managementului ale efectelor schimbărilor; - Întreţinerea unor evidenţe adecvate; - Pregătirea unui plan de recuperare, chiar dacă sistemul funcţionează corect; - Elaborarea şi implementarea procedurilor de control privind schimbările de urgenţă - Procedurile de control al versiunilor utilizează pe scară largă instrumente automate de control al versiunilor pentru a înregistra schimbările succesive efectuate asupra programelor sursă; - Proceduri pentru migrarea datelor în noul sistem; - Actualizarea documentaţiei în concordanţă cu schimbările operate

Efectuarea unei analize cu privire la efectele schimbării, pentru a determina: Dacă schimbarea s-a finalizat cu

rezultatele planificate; Dacă utilizatorii sunt mulţumiţi

în ceea ce priveşte modificarea produsului;

Dacă au apărut probleme sau efecte neaşteptate;

Dacă resursele cerute pentru implementarea şi operarea sistemului actualizat au fost cele planificate

Implementarea unor controale specifice care să stabilească: - Cine iniţiază modificarea sau dezvoltarea aplicaţiilor - Dacă există un formular pentru

Pag. 80 din 180



de audit

cereri şi cine trebuie să îl aprobe - Dacă există o procedură pentru a se asigura că investiţiile în hardware, software şi servicii IT sunt evaluate corespunzător - Dacă au fost adoptate metodologii şi instrumente standard pentru dezvoltarea unor aplicaţii pe plan local şi dacă utilizarea acestei metodologii este transpusă în proceduri documentate - Cum se asigură conducerea de armonizarea necesităţilor activităţii cu schimbările IT - Dacă există o evidenţă a tuturor modificărilor efectuate - Dacă există o separaţie a mediilor de producţie (operaţional), de test şi de dezvoltare - Dacă există o procedură de implementare a schimbărilor tehnice în mediul operaţional - Dacă sunt permise în cadrul instituţiei modificările de urgenţă - Dacă există o etapizare privind documentarea, abordarea retrospectivă, testarea - Cine iniţiază, cine aprobă, cine efectuează, cine monitorizează aceste modificări - Dacă există o evidenţă clară a acestor modificări - Dacă se testează modificările de urgenţă - Dacă sunt stabilite măsuri de control pentru ca numai modificările autorizate să fie transferate din mediul de test în cel de producţie

Procurarea resurselor

Este implementat un cadru de control al achiziţiilor, se realizează managementul contractelor cu furnizorii, există politici pentru selectarea furnizorilor şi achiziţionarea resurselor


Cadrul de control al achiziţiilor


Politici şi proceduri

Instalarea şi acreditarea soluţiilor şi schimbărilor

Instruirea pesonalului pentru utilizarea noului sistem

Au fost elaborate documente privind:


Program de instruire

Pag. 81 din 180



de audit

Planul de testare, Planul de implementare

Există proceduri privind: mediul de test, conversia sistemului şi a datelor, testarea schimbărilor, testul final de acceptare, promovarea în producţie, revizia post-implementare

Plan de testare

Plan de implementare

Proceduri

Achiziţia şi întreţinerea aplicaţiilor software

A fost asigurat cadrul pentru desfăşurarea următoarelor activităţi şi satisfacerea următoarelor cerinţe: - Proiectarea de nivel înalt - Proiectarea detaliată - Controlul şi auditabilitatea

aplicaţiilor - Securitatea şi disponibilitatea

aplicaţiilor - Configurarea şi implementarea

aplicaţiilor software achiziţionate - Actualizări majore ale sistemelor

existente - Dezvoltarea aplicaţiilor software - Asigurarea calităţii software - Managementul cerinţelor

aplicaţiilor - Întreţinerea aplicaţiilor software


Proiecte Cadrul de securitate

Cadrul procedural


Politici şi proceduri

Documentaţii tehnice

Achiziţia şi întreţinerea infrastructurii tehnologice

A fost asigurat cadrul pentru desfăşurarea următoarelor activităţi şi satisfacerea următoarelor cerinţe: - Planul de achiziţie a infrastructurii

tehnologice - Protecţia şi disponibilitatea

resurselor infrastructurii - Întreţinerea infrastructurii - Mediul de testare a fezabilităţii


Planul de achiziţie a infrastructurii tehnologice

Contracte

Documentaţii tehnice

Detalii teoretice referitoare la PROCEDURA B7 se regăsesc în Manualul de audit al sistemelor informatice (CCR, 2012).

Auditorul va examina următoarele aspecte:

Politicile şi procedurile de autorizare existente pentru modificarea aplicaţiilor financiare: cine autorizează modificările, dacă se folosesc studii de fezabilitate pentru a determina impactul potenţial al modificărilor, cum este monitorizată şi analizată derularea proiectului de către conducere, reacţiile generate, metodologii şi instrumente standard de dezvoltare adoptate, documentaţii referitoare la modificare, analiza post-modificare;

Pag. 82 din 180

Modul de gestionare a următoarelor categorii de actuivităţi: procurarea resurselor, instalarea şi acreditarea soluţiilor şi schimbărilor, achiziţia şi întreţinerea aplicaţiilor software, achiziţia şi întreţinerea infrastructurii tehnologice;

În ce măsură sunt testate actualizările sistemului şi ale aplicaţiei înainte de transferul în mediul operaţional (de producţie);

Dacă procedurile de testare sunt adecvate, independente şi documentate;

Implicarea utilizatorilor în testarea dezvoltării, achiziţiei şi recepţiei sistemelor informatice;

Dacă evidenţele modificărilor sunt la zi, cuprinzătoare şi complete;

Dacă manualele de utilizare sunt actualizate şi este disponibilă cea mai recentă versiune a documentaţiei;

Efectuarea modificărilor de urgenţă;

Controale existente pentru a asigura că numai modificările autorizate sunt transferate din mediul de testare în mediul de producţie;

Modul de tratare a deficienţele de funcţionare a software-ului şi a problemelor utilizatorilor (funcţie help-desk, statistici help-desk disponibile, rezolvarea practică a incidentelor);

Controale pentru prevenirea accesului persoanelor neautorizate la programele din biblioteca sursa de programe pentru a face modificări.

PROCEDURA B8 - Auditul intern IT

Responsabilitatea managementului privind implementarea sistemului de controale interne se reflectă în politicile şi procedurile implementate. Asigurarea că sistemul de controale este implementat corespunzător şi reduce în mod rezonabil riscurile identificate este furnizată de auditorii interni care examinează politicile, procedurile şi controalele implementate şi efectele funcţionării acestora asupra activităţii entităţii.

Auditorii externi privesc funcţia de audit intern a entităţii ca fiind o parte din structura generală de control a acesteia, o evaluează şi formulează o opinie privind încrederea în activitatea auditului intern. De asemenea, auditorii externi evaluează dacă personalul din structura de audit intern este capabil să efectueze evaluări competente ale sistemului de calcul al entităţii, dacă utilizează metodologii sau standarde de audit IT adecvate.

Structura mediului de control IT al unei entităţi conţine controale specifice IT care se referă la următoarele categorii de elemente:

Mediul controalelor generale: include controalele asociate politicilor de nivel înalt, valorilor etice, culturii afacerii şi resurselor umane.

Evaluarea riscurilor: presupune evaluarea ameninţărilor, vulnerabilităţilor şi a impactului acestora asupra afacerii.

Informaţie şi comunicaţii: constau în controale care permit personalului să primească şi să controleze informaţiile legate de afacere.

Activităţi de control: asigură că afacerea continuă să opereze în maniera aşteptată de managementul de vârf.

Monitorizare: asigură că politicile şi procedurile continuă să funcţioneze şi sunt adecvate.

Pag. 83 din 180

Tabelul 26

Secţiunea Auditul Intern – B8



de audit

AUDIT INTERN IT

Audit intern IT

Modul în care se reflectă preocuparea pentru auditarea infrastructurii IT, în planificarea acţiunilor de audit intern ale entităţii

Măsurile întreprinse pentru asigurarea funcţia de audit intern privind domeniul IT în cadrul instituţiei

Pregătirea profesională a auditorilor interni în domeniul IT

Metodologia pentru audit IT folosită de auditorii interni

Ritmicitatea elaborării unor rapoarte de audit IT. Modul de valorificare a constatărilor


Planul de audit intern Rapoarte de audit Metodologia pentru audit IT

Auditul intern trebuie să se concentreze asupra existenţei şi eficacităţii controalelor specializate IT pentru toate categoriile menţionate mai sus, în concordanţă cu specificul activităţii şi în scopul evitării expunerii afacerii la riscuri nejustificate. Specializarea unor auditori în domeniul auditului IT şi utilizarea unor metodologii adecvate sau includerea unor experţi în domeniu în echipa de audit, în situaţii în care se justifică prezenţa acestora, reprezintă o cerinţă pentru evaluarea unor sisteme informatice complexe.

2.3 Revizuirea controalelor aplicaţiei şi evaluarea riscurilor asociate

Secţiunile următoare se referă la problematica specifică aplicaţiilor informatice financiar-contabile, din perspectiva auditului.

SCOP: Să consolideze cunoştinţele privind sistemul informatic al entităţii auditate, obţinute prin evaluarea controalelor generale aferente mediului informatizat, să permită auditorului financiar să identifice, să documenteze şi să evalueze orice proceduri şi controale care operează în cadrul fiecărei aplicaţii financiare, să permită auditorului să evalueze nivelul general al riscului de audit asociat fiecărei aplicaţii şi să identifice riscurile specifice care pot influenţa realizarea conformităţii şi riscurile asociate programelor informatice.

Pag. 84 din 180

Cele mai importante obiective de control specifice aplicaţiilor7 sunt:

1. Pregătirea şi autorizarea surselor de date: asigură faptul că documentele sursă sunt pregătite de personal autorizat şi calificat, folosind proceduri anterior stabilite, demonstrând o separare adecvată a îndatoririlor cu privire la generarea şi aprobarea acestor documente. Erorile şi omisiunile pot fi minimizate printr-o bună proiectare a intrărilor. Detectează erorile şi neregulile spre a fi raportate şi corectate.

2. Colectarea surselor de date si introducerea în sistem: stabileşte faptul că intrările (datele de intrare) au loc la timp, fiind făcute de către personal autorizat şi calificat. Corectarea şi retrimiterea datelor care au intrat în sistem în mod eronat trebuie să aibă loc fără a trece peste nivelurile iniţiale de autorizare privind tranzacţiile (intrările). Când este nevoie să se reconstituie intrarea, trebuie reţinută sursa iniţială pentru o perioadă suficientă de timp.

3. Verificări privind: acurateţea, completitudinea şi autenticitatea: asigură faptul că tranzacţiile sunt precise (exacte), complete şi valabile. Validează datele introduse şi le editează sau le trimite înapoi spre a fi corectate cât mai aproape posibil de punctul de provenienţă.

4. Integritatea şi validitatea procesului: menţine integritatea şi validitatea datelor de-a lungul ciclului de procesare. Detectarea tranzacţiilor compromise din punct de vedere al erorilor nu întrerupe procesarea tranzacţiilor valide.

5. Revizuirea rezultatelor, reconcilierea şi tratarea erorilor: stabileşte procedurile şi responsabilităţile asociate pentru a asigura că rezultatul este utilizat într-o manieră autorizată, distribuit destinatarului potrivit şi protejat în timpul transmiterii sale, precum şi faptul că se produc: verificarea, detectarea şi corectarea exactităţii rezultatului şi că informaţia oferită în rezultatul procesării este utilizată.

6. Autentificarea şi integritatea tranzacţiilor: înainte de a transmite datele tranzacţiei de la aplicaţiile interne către funcţiile operaţionale ale afacerii (sau către exteriorul organizaţiei), trebuie verificate: destinaţia, autenticitatea sursei şi integritatea conţinutului. Menţine autenticitatea şi integritatea transmiterii sau ale transportului.

Pentru evaluarea controalelor de aplicaţie se utilizează Lista de verificare privind evaluarea controalelor de aplicaţie. Aspectele teoretice referitoare la evaluarea riscurilor sunt tratate în Capitolul 4. Pentru evaluarea riscurilor se utilizează Lista de verificare privind evaluarea riscurilor (Anexa 4.

PROCEDURA CA1 - Înţelegerea sistemului informatic financiar - contabil

Auditorul trebuie să înţeleagă toate etapele pe care le parcurg tranzacţiile, de la iniţiere şi până la reflectarea lor în situaţiile financiare. În foarte multe cazuri, când activitatea este parţial informatizată, aplicaţiile informatice reflectă parţial fluxul unei tranzacţii, prelucrarea fiind completată prin proceduri manuale. În acest context, auditorul este cel care trebuie să reconstituie parcursul tranzacţiei, de la iniţiere până la includerea în situaţiile financiare.

În cadrul evaluării aplicaţiilor, auditorul trebuie să identifice toate echipamentele informatice asociate mediului IT implicate în introducerea, prelucrarea, stocarea sau producerea rezultatelor de ieşire aferente sistemului informatic financiar-contabil.

7 Conform cadrului de lucru COBIT

Pag. 85 din 180

De asemenea, va identifica toate aplicaţiile IT care contribuie la obţinerea situaţiilor financiare.

Pentru fiecare aplicaţie financiară auditorul trebuie să prezinte în documentele de lucru, sub forma de schemă logică sau descriptivă, următoarele elemente:

interfeţele dintre operaţiile manuale şi operaţiile informatizate; echipamentele şi aplicaţiile informatice care contribuie la obţinerea situaţiilor

financiare verificate; valoarea şi volumul tranzacţiilor procesate de fiecare aplicaţie; modulele de introducere, prelucrare, ieşire şi stocare ale aplicaţiilor relevante; fluxul tranzacţiilor de la iniţierea tranzacţiei până la reflectarea acestora în

situaţiile financiare.

Creşterea gradului de complexitate a sistemelor informatice prin integrarea aplicaţiilor la nivelul sistemului informatic al entităţii, permite procesarea mai multor tipuri de tranzacţii, provenind din aplicaţii diferite: aplicaţii care procesează tranzacţii privind veniturile, tranzacţii de cheltuieli, state de plată lunare, evidenţa stocurilor, costul lucrărilor şi activele fixe şi altele. Este deci posibil ca o aplicaţie să proceseze tranzacţii din zone contabile diferite.

La definirea zonelor contabile, auditorul va trebui să identifice fluxul principal de tranzacţii din fiecare aplicaţie şi să reconstituie parcursul prelucrării în funcţie de aplicaţia analizată. De asemenea, trebuie să detecteze şi să reconstituie fluxurile care apar în situaţia transferului de informaţii între aplicaţii.

Tabelul 27 Descrierea aplicaţiei

Cod procedură

Controale de aplicaţie

Documente de lucru Revizuiri / Teste

CA1

Descrierea aplicaţiei

LV_Controale Aplicaţie

Funcţiile pe care le realizează aplicaţia

Arhitectura aplicaţiei (platforma hardware / software, produsele software de tip instrument, sistemul de gestiune a bazelor de date, sistemul de comunicaţie)

Desemnarea administratorului aplicaţiei

Care este numărul utilizatorilor? Cine sunt utilizatorii?

Volumul şi valoarea tranzacţiilor procesate lunar de aplicaţia financiar contabilă

Puncte slabe sau probleme cunoscute

Auditorul trebuie să evalueze riscul de audit în cadrul fiecărui proces, utilizând următorii trei factori: (a) ameninţările la adresa integrităţii şi disponibilităţii informaţiilor financiare; (b) vulnerabilitatea informaţiilor financiare la ameninţările identificate; (c) impactul posibil în ceea ce priveşte obiectivele auditului.

Pag. 86 din 180

Auditorul va colecta informaţii referitoare la aplicaţia financiar-contabilă: descrierea aplicaţiei, funcţiile pe care le realizează aplicaţia, arhitectura aplicaţiei (platforma hardware / software, produsele software de tip instrument, sistemul de gestiune a bazelor de date, sistemul de comunicaţie), proprietarul aplicaţiei, administratorul aplicaţiei, numărul utilizatorilor aplicaţiei şi cine sunt aceştia, volumul şi valoarea tranzacţiilor procesate lunar de aplicaţia financiar-contabilă, puncte slabe sau probleme cunoscute.

PROCEDURA CA2 - Posibilitatea de efectuare a auditului

Posibilitatea efectuării auditului pe baza sistemului informatic financiar-contabil depinde de posibilitatea colectării unor probe suficiente şi competente, pentru efectuarea auditului.

Tabelul 28 Posibilitatea de efectuare a auditului

Cod procedură



CA2

Posibilitatea de efectuare a auditului


Evidenţele tranzacţiilor să fie stocate şi să fie complete pentru întreaga perioadă de raportare

Evidenţierea unei tranzacţii să conţină suficiente informaţii pentru a stabili un parcurs de audit

Totalurile tranzacţiilor să se regăsească în situaţiile financiare

Dacă oricare dintre aceste revizuiri nu primeşte un răspuns afirmativ, auditorul, pe baza raţionamentului profesional, trebuie să decidă dacă sistemul informatic oferă încredere în situaţiile financiare generate de acest sistem. În condiţiile în care concluzia auditorului este că nu poate avea încredere în sistemul informatic, auditorul trebuie să analizeze ce măsuri trebuie luate pentru a continua misiunea de audit financiar.

Auditorul trebuie să constate dacă există evidenţe contabile alternative manuale şi dacă este posibil să se efectueze auditul pe baza acestora (pe lângă sistemul informatic).

PROCEDURA CA3 - Utilizarea tehnicilor de audit asistat de calculator (CAAT)

Tehnicile de auditare asistată de calculator utilizate cel mai frecvent în auditul financiar se împart în două categorii:

(a) tehnici pentru regăsirea datelor prin interogarea fişierelor de date;

prin utilizarea unor module de audit incluse în sistemul informatic auditat.

(b) tehnici pentru verificarea controalelor sistemului utilizarea datelor de test;

utilizarea facilităţilor de testare integrate;

simulare paralelă;

Pag. 87 din 180

compararea codului programului;

revizuirea codului programului.

Tabelul 29 Utilizarea tehnicilor de audit asistat de calculator (CAAT)

Cod procedură



CA3

Utilizarea tehnicilor de audit asistat de calculator (CAAT)


Identificarea informaţiilor care vor fi necesare pentru prelucrare în scopul obţinerii probelor de audit

Obţinerea datelor într-un format adecvat pentru a fi prelucrate

Stocarea datelor într-o structură care să permită prelucrările impuse de necesităţile auditului

Obţinerea asigurării privind versiunea de programe utilizată şi corectitudinea surselor de date

Înţelegerea modului în care operează sistemul (identificarea fişierelor care conţin datele de interes şi a structurii acestora)

Cunoaşterea structurii înregistrărilor, pentru a le putea descrie în programul de interogare

Formularea interogărilor asupra fişierelor/ bazelor de date

Cunoaşterea modului de operare a sistemului

Determinarea criteriilor de selecţie a înregistrărilor în funcţie de metoda de eşantionare şi de tipurile de prelucrări

Interogarea sistemului şi obţinerea probelor de audit. Trebuie adoptată cea mai adecvată formă de prezentare a rezultatelor

Datele trebuie să fie furnizate într-o formă care să permită utilizarea lor în mod direct de către programul de audit asistat de calculator sau într-un format standard compatibil cu versiunea sofware utilizată de auditor (fişiere Windows, Lotus, Excel, mdb, text cu separatori, etc.);

Datele trebuie să fie furnizate în format electronic, pentru a permite importul direct în baza de date a auditorului, pe suport magnetic, optic sau prin reţea (Internet, intranet). In toate cazurile trebuie analizate implicaţiile infectării cu viruşi.

In cazul auditului financiar, sunt oferite facilităţi specifice pentru prelucrarea şi analiza unor colecţii mari de date, prin efectuarea unor teste şi utilizarea unor proceduri adecvate, cum ar fi:

Pag. 88 din 180

Teste ale detaliilor tranzacţiilor şi soldurilor (recalcularea dobânzii, extragerea din înregistrările bazei de date a entităţii a facturilor care depăşesc o anumită valoare sau dată calendaristică sau care îndeplinesc alte condiţii);

Proceduri analitice (identificarea neconcordanţelor sau a fluctuaţiilor semnificative);

Teste ale controalelor generale (testarea setării sau a configurării sistemului de operare, verificarea faptului că versiunea programului folosit este versiunea aprobată de conducere);

Programe de eşantionare pentru extragerea datelor în vederea efectuării testelor de audit;

Teste ale controalelor aplicaţiilor (testarea conformităţii aplicaţiei cu condiţiile impuse de legislaţia în vigoare);

Refacerea calculelor efectuate de sistemele contabile ale entităţii.

Pentru a obţine probe de audit de calitate şi pentru efectuarea unor prelucrări adiţionale, auditorul poate efectua investigaţii privind informaţiile generate de calculator, prin utilizarea tehnicilor de audit asistat de calculator, în particular, utilizarea programului IDEA. Acest mod de lucru contribuie la creşterea performanţei în efectuarea testelor de fond, prin aplicarea unor proceduri analitice automatizate, precum şi a performanţei procedurilor de audit.

Auditorul poate folosi testarea datelor pentru: verificarea controalelor specifice în sistemele informatice, cum ar fi controale de

acces la date, parole; prelucrarea tranzacţiilor selectate dintre cele prelucrate de sistemul informatic sau

create de auditor pentru a testa facilităţile aplicaţiilor informatice ale entităţii, separat de datele procesate în mod obişnuit de entitate;

prelucrarea tranzacţiilor de test în timpul execuţiei normale a programului de prelucrare, de către auditorul integrat în sistem ca fiind un utilizator fictiv. In acest caz, tranzacţiile de test trebuie să fie eliminate ulterior din înregistrările contabile ale entităţii.

PROCEDURA CA4 – Determinarea răspunderii

Pentru a determina răspunderea utilizatorilor în ceea ce priveşte operaţiile efectuate asupra tranzacţiilor, sistemele informatice trebuie să fie capabile să identifice ce utilizator a efectuat o anumită operaţie şi când.

Tabelul 30

Determinarea răspunderii

Cod procedură



CA4

Determinarea răspunderii


Implementarea unor controale care identifică şi raportează acţiunile utilizatorilor şi înregistrează informaţiile într-un registru de audit

Conducerea examinează în mod regulat rapoartele de excepţii extrase din registrul de audit şi ia măsuri de urmărire ori de câte ori

Pag. 89 din 180

Cod procedură



sunt identificate discrepanţe

Există controale adecvate pentru a asigura că personalul care introduce sau procesează tranzacţii nu poate să modifice şi înregistrările aferente activităţilor lor, înscrise în registrul de audit

Integritatea registrelor de audit este asigurată prin criptarea datelor sau prin copierea registrului într-un director sau fişier protejat

Auditorul va verifica dacă există controale adecvate pentru a asigura că personalul care introduce sau procesează tranzacţii nu poate să modifice şi dacă sunt înregistrate activităţilor lor.

PROCEDURA CA5 – Evaluarea documentaţiei aplicaţiei

O bună documentaţie a aplicaţiei reduce riscul comiterii de greşeli de către utilizatori sau al depăşirii atribuţiilor autorizate. Documentaţia trebuie să fie cuprinzătoare, actualizată la zi, pentru ca examinarea acesteia să ajute auditorul să obţină o înţelegere a modului în care funcţionează fiecare aplicaţie şi să identifice riscurile particulare de audit. Documentaţia trebuie să includă:

prezentarea generală a sistemului; specificaţia cerinţelor utilizatorului; descrierea şi listingul programului sursă (după caz); descrierile intrărilor / ieşirilor; descrierea conţinutului fişierelor; manualul utilizatorului; instrucţiuni de operare.

Tabelul 31 Documentaţia aplicaţiei

Cod procedură



CA5

Documentaţia aplicaţiei


Se va evalua: dacă documentaţia aplicaţiei este

adecvată, cuprinzătoare şi actualizată; dacă personalul îndreptăţit are copii ale

documentaţiei relevante sau acces la aceasta;

dacă există instrucţiuni de lucru pentru procedurile zilnice şi pentru rezolvarea unor probleme frecvente;

dacă se păstrează copii de rezervă ale documentaţiei aplicaţiei în scopul recuperării după dezastru şi al reluării rapide a procesării.

Pag. 90 din 180

Auditorul va evalua dacă documentaţia aplicaţiei este adecvată, este cuprinzătoare şi actualizată, dacă personalul îndreptăţit are copii ale documentaţiei relevante sau acces la aceasta, dacă există instrucţiuni de lucru pentru procedurile zilnice şi pentru rezolvarea unor probleme frecvente, dacă se păstrează copii de rezervă ale documentaţiei aplicaţiei în scopul recuperării după dezastru şi al reluării rapide a procesării.

PROCEDURA CA6 – Evaluarea securităţii aplicaţiei

După evaluarea controalelor generale IT, auditorul va trebui să obţină o înţelegere a controalelor asupra accesului la calculatoarele pe care funcţionează aplicaţiile, în condiţiile în care utilizatorii selectează o aplicaţie anume. O analiză a securităţii aplicaţiei ia în considerare controalele de acces ca fiind o fază anterioară operării aplicaţiei şi vizează modul în care sunt controlaţi utilizatorii când accesează o anumită aplicaţie. De exemplu, tot personalul din departamentul finanţe va avea acces, prin controalele sistemului, la aplicaţia financiară online. Pentru controlul accesului la diferite categorii de informaţii (la registrul de vânzări, la registrul de cumpărări, la statele de plată etc.) se introduc controalele de aplicaţie suplimentare care reglementează drepturile de acces la fiecare categorie în parte.

Tabelul 32 Securitatea aplicaţiei

Cod

procedură Controale de

aplicaţie


CA6

Securitatea aplicaţiei: acces fizic şi logic


Se vor evalua protecţiile fizice în vigoare pentru a preveni accesul neautorizat la aplicaţie sau la anumite funcţii ale acesteia, în funcţie de atribuţii, pentru punerea în aplicare a separării sarcinilor şi a respectării atribuţiilor

Se vor testa controalele logice de acces utilizate pentru a restricţiona accesul la aplicaţie sau la anumite funcţii ale acesteia pentru punerea în aplicare a separării sarcinilor şi a respectării atribuţiilor

Se vor testa controalele logice existente pentru restricţionarea activităţii utilizatorilor după ce a fost obţinut accesul la o aplicaţie (de exemplu, meniuri restricţionate)

Evaluarea controalelor existente în cadrul aplicaţiei pentru identificarea acţiunilor utilizatorilor individuali (utilizarea de identificări unice, jurnale de operaţii, utilizarea semnăturii electronice)

Auditorul va evalua protecţiile fizice în vigoare pentru a preveni accesul neautorizat la aplicaţie sau la anumite funcţii ale acesteia, în funcţie de atribuţii, pentru punerea în aplicare a separării sarcinilor şi a respectării atribuţiilor. De asemenea, va evalua controalele existente în cadrul aplicaţiei pentru identificarea acţiunilor utilizatorilor

Pag. 91 din 180

individuali (utilizarea de identificări unice, jurnale de operaţii, utilizarea semnăturii electronice).

Auditorul va testa controalele logice de acces utilizate pentru a restricţiona accesul la aplicaţie sau la anumite funcţii ale acesteia pentru punerea în aplicare a separării sarcinilor şi a respectării atribuţiilor, precum şi controalele logice existente pentru restricţionarea activităţii utilizatorilor după ce a fost obţinut accesul la o aplicaţie (de exemplu, meniuri restricţionate).

PROCEDURA CA7 – Evaluarea controalelor privind introducerea datelor

În vederea prelucrării, datele pot fi introduse într-o varietate de formate. Pe lângă informaţiile introduse direct de la tastatură, aplicaţiile informatice acceptă pe scară din ce în ce mai largă documente electronice provenind din prelucrări anterioare în alte sisteme sau create prin utilizarea dispozitivelor electronice de recunoaştere a caracterelor. Controalele fizice şi logice de acces trebuie să ofere asigurarea că numai tranzacţiile valabile sunt acceptate pentru introducere.

Controalele fizice de acces includ mecanisme de acces protejate la uşile către biroul financiar şi terminalele calculatorului (închidere cu mecanisme de blocare sau cu cheia).

Controalele logice de acces se referă la capacitatea sistemelor informatice de a identifica utilizatorii individuali şi de a raporta identitatea lor faţă de o listă predeterminată de funcţii pe care fiecare dintre aceştia este autorizat să le execute.

După identificare şi autentificare, aplicaţia poate fi în măsură să controleze drepturile fiecărui utilizator. Aceasta se realizează pe baza profilului şi a drepturilor şi privilegiilor de acces necesare pentru fiecare utilizator individual sau grup de utilizatori. De exemplu, unui utilizator i se poate atribui profilul de operator în registrul de vânzări şi ca atare acestuia îi va fi interzis să realizeze activităţi în registrul de cumpărări sau în orice alt modul din cadrul aplicaţiei.

O asigurare suplimentară poate fi obţinută prin separarea sarcinilor impusă prin calculator. Utilizatorii pot avea un profil care să asigure că sistemul va procesa datele introduse numai după ce au fost autorizate de un alt membru nominalizat al personalului. Profilul utilizatorului trebuie să fie suficient de detaliat pentru a asigura că un membru al personalului nu poate accesa sau procesa o tranzacţie financiară de la început la sfârşit.

Asigurarea că introducerea datelor este completă poate fi obţinută prin gruparea tranzacţiilor pe loturi şi verificarea numărului şi valorii tranzacţiilor introduse cu totalurile calculate independent.

Dacă aplicaţiile nu utilizează controalele de lot pentru a introduce tranzacţii, auditorul trebuie să caute alte dovezi ale completitudinii. Se poate include o examinare a documentelor sursă pentru a se confirma că acestea au dat naştere datelor de intrare.

Aplicaţiile pot confirma validitatea intrării prin compararea datelor introduse, cu informaţii deja deţinute in sistem (de obicei din nomenclatoare sau cataloage). De exemplu, un sistem utilizat de validare a adreselor dintr-un registru de vânzări sau cumpărări implică introducerea numărului clădirii şi a codului poştal. Calculatorul va

Pag. 92 din 180

căuta adresa în fişierele sale şi apoi operatorul o compară cu adresa din documentele de intrare.

Numerele de cont şi alte câmpuri cheie pot încorpora cifre de control. Cifrele de control sunt calculate prin aplicarea unui algoritm la conţinutul câmpului şi pot fi utilizate pentru a verifica dacă acel câmp a fost introdus corect.

Câmpurile financiare pot face obiectul verificării unui set de date pentru a evita introducerea de sume neautorizate sau nerezonabile. Datele introduse care încalcă limitele prestabilite vor fi respinse şi evidenţiate într-un registru de audit.

Utilizarea numerelor de ordine ale tranzacţiilor poate releva tranzacţiile lipsă, ajută la evitarea tranzacţiilor duble sau neautorizate şi asigură un parcurs de audit.

Controalele precizate mai sus nu sunt valide în condiţiile în care este posibil ca acestea să fie ocolite prin acţiuni de introducere sau modificare a datelor, din afara aplicaţiei.

Tabelul 33

Controale privind introducerea datelor

Cod

procedură Controale de

aplicaţie


CA7

Controale privind introducerea datelor


Evaluarea procedurilor/controalelor existente care să asigure că introducerea datelor este autorizată şi exactă

Evaluarea controalelor care asigură că toate tranzacţiile valabile au fost introduse (verificări de completitudine si exactitate), că există proceduri pentru tratarea tranzacţiilor respinse sau eronate

Evaluarea controalelor care asigură că toate tranzacţiile sunt valabile

Evaluarea controalelor care asigură că toate tranzacţiile sunt autorizate

Evaluarea controalelor care asigură că toate tranzacţiile sunt înregistrate în perioada financiară corectă

Verificarea acţiunilor care se întreprind de către conducere pentru monitorizarea datelor de intrare

Auditorul trebuie să urmărească existenţa unor verificări automate ale aplicaţiei care să detecteze şi să raporteze orice modificări externe ale datelor, de exemplu modificări neautorizate efectuate de personalul de operare al calculatorului, direct în baza de date aferentă aplicaţiei. Auditorul trebuie să examineze şi rezultatele analizelor efectuate de sistem, pentru a se asigura că utilizarea facilităţilor de modificare ale sistemului, precum editoarele, este controlată corespunzător.

Auditorul va evalua procedurile / controalele existente care să asigure că introducerea datelor este autorizată şi exactă, precum şi controalele care asigură că toate tranzacţiile

Pag. 93 din 180

valabile au fost introduse (verificări de completitudine şi exactitate), că există proceduri pentru tratarea tranzacţiilor respinse sau eronate. Va verifica acţiunile care se întreprind de către conducere pentru monitorizarea datelor de intrare.

PROCEDURA CA8 – Evaluarea controalelor privind transmisia de date

Sistemele informatice sunt conectate fie la reţeaua locală, fie la alte reţele externe (LAN sau WAN), care le permit să primească şi să transmită date de la calculatoare aflate la distanţă. Cele mai utilizate medii de transmitere a datelor includ liniile telefonice, cablurile coaxiale, unde infraroşii, fibre optice şi unde radio. Indiferent de mijloacele de transmisie utilizate, trebuie să existe controale adecvate care să asigure integritatea datelor tranzacţiei transmise.

Aplicaţiile care transmit informaţii prin reţele pot fi supuse următoarelor riscuri: datele pot fi interceptate şi modificate fie în cursul transmisiei, fie în cursul

stocării în site-uri intermediare; în fluxul tranzacţiei se pot introduce date neautorizate utilizând conexiunile de

comunicaţii; datele pot fi deformate în cursul transmisiei.

Auditorul trebuie să se asigure că există controale care să prevină şi să detecteze introducerea de tranzacţii neautorizate. Aceasta se poate realiza, de exemplu, prin controlul asupra proiectării şi stabilirii legăturilor de comunicaţii, sau prin ataşarea semnăturilor digitale la fiecare transmisie.

Integritatea datelor transmise poate fi compromisă datorită defectelor de comunicaţie. Auditorul trebuie să se asigure că funcţionează controale adecvate, fie în cadrul reţelei, fie în aplicaţiile financiare, pentru detectarea datelor deformate. Este posibil ca protocolul de comunicaţii al reţelei, respectiv regulile predeterminate care determină formatul şi semnificaţia datelor transmise, să încorporeze facilităţi automate de detecţie şi corecţie.

Având în vedere uşurinţa interceptării datelor transmise în reţelele locale sau în alte reţele externe, protecţia neadecvată a reţelei măreşte riscul modificării, ştergerii şi dublării neautorizate a datelor. Există un număr de controale care pot fi utilizate pentru a trata aceste probleme:

se pot utiliza semnături digitale pentru a verifica dacă tranzacţia provine de la un utilizator autorizat şi conţinutul tranzacţiei este intact;

se pot utiliza tehnici de criptare a datelor pentru a preveni interpretarea şi / sau modificarea tranzacţiilor interceptate;

secvenţierea tranzacţiilor poate ajuta la prevenirea şi detectarea tranzacţiilor dublate sau şterse şi pot ajuta la identificarea tranzacţiilor neautorizate.

Tabelul 34 Controale ale transmisiei de date

Cod procedură



CA8

Controale privind transmisia de date


Asigurarea că transferul de date în reţea este atât complet, cât şi exact (utilizarea semnăturii digitale, criptarea datelor, secvenţierea tranzacţiilor)

Pag. 94 din 180

Cod procedură



Identificarea şi tratarea riscurilor asociate transferului de date în reţea

Auditorul va evalua controalele implementate pentru asigurarea că transferul de date în reţea este atât complet cât şi exact (utilizarea semnăturii digitale, criptarea datelor, secvenţierea tranzacţiilor), precum şi metodele de identificare şi tratare a riscurilor asociate transferului de date în reţea (adoptate de organizaţie).

PROCEDURA CA9 – Evaluarea controalelor prelucrării

Controalele prelucrării în cadrul unei aplicaţii informatice trebuie să asigure că se utilizează numai date şi versiuni de program valabile, că procesarea este completă şi exactă şi că datele prelucrate au fost înscrise în fişierele corecte.

Asigurarea că prelucrarea a fost completă şi exactă poate fi obţinută prin efectuarea unei comparaţii a totalurilor deduse din tranzacţiile introduse cu totalurile din fişierele de date menţinute de calculator. Auditorul trebuie să se asigure că există controale pentru detectarea procesării incomplete sau inexacte a datelor de intrare.

Procesele aplicaţiei pot să efectueze şi alte validări ale tranzacţiei, prin verificarea datelor cu privire la dublarea unor tranzacţii şi la concordanţa cu alte informaţii deţinute de alte componente ale sistemului. Procesul poate să verifice integritatea datelor pe care le păstrează prin utilizarea sumelor de verificare deduse din date. Scopul acestor controale este de a detecta modificările externe aduse datelor datorită anomaliilor sistemului sau a utilizării neautorizate a unor facilităţi de modificare ale sistemului, precum editoarele.

Sistemele informatice financiar-contabile trebuie să menţină un registru al tranzacţiilor procesate. Registrul de tranzacţii, care poate fi denumit fişierul parcursului de audit, trebuie să conţină informaţii suficiente pentru a identifica sursa fiecărei tranzacţii şi fluxul de prelucrare al acesteia.

În mediile care se prelucrează loturi de date, erorile detectate în cursul procesării trebuie să fie aduse la cunoştinţa utilizatorilor. Loturile respinse trebuie înregistrate şi înapoiate expeditorului. Sistemele online trebuie să încorporeze controale de monitorizare şi raportare a tranzacţiilor neprocesate sau neclare (precum facturi plătite parţial). Trebuie să existe proceduri care să permită conducerii să identifice şi să examineze toate tranzacţiile neclarificate peste un anumit termen.

Aplicaţiile trebuie sa fie proiectate pentru a face faţă perturbaţiilor, precum cele cauzate de defecte de alimentare cu curent electric sau de echipament (salvarea stării curente în caz de incident). Sistemul trebuie sa fie capabil să identifice toate tranzacţiile incomplete şi să reia procesarea acestora de la punctul de întrerupere.

Pag. 95 din 180

Tabelul 35 Controalele prelucrării

Cod

procedură Controale

de aplicaţie


CA9

Controalele prelucrării


Evaluarea controalelor existente care să asigure că toate tranzacţiile au fost procesate, pentru a reduce riscul de procesare a unor tranzacţii incomplete, eronate sau frauduloase Evaluarea controalelor existente care să asigure că sunt procesate fişierele corecte (controalele pot fi de natură fizică sau logică şi previn riscul de procesare necorespunzătoare a unor tranzacţii) Se va verifica existenţa controalelor pentru a asigura exactitatea procesării şi a controalelor pentru detectarea / prevenirea procesării duble Se va verifica existenţa controalelor pentru a asigura că toate tranzacţiile sunt valabile Se va verifica existenţa controalelor pentru a asigura că procesele din calculator sunt auditabile Se va verifica modul în care aplicaţia şi personalul tratează erorile de procesare

Auditorul va evalua controalele existente care să asigure că toate tranzacţiile au fost procesate, pentru a reduce riscul de procesare a unor tranzacţii incomplete, eronate sau frauduloase, controalele existente care să asigure că sunt procesate fişierele corecte (controalele pot fi de natură fizică sau logică şi previn riscul de procesare necorespunzătoare a unor tranzacţii), precum şi existenţa controalelor care să asigure exactitatea procesării şi a controalelor pentru detectarea / prevenirea procesării duble. Se va verifica, de asemenea, modul în care aplicaţia şi personalul tratează erorile de procesare.

PROCEDURA CA10 – Evaluarea controalelor privind datele de ieşire

Implementarea controalelor datelor de ieşire trebuie să asigure că rezultatele furnizate de sistemul informatic îndeplinesc următoarele condiţii:

sunt complete;

sunt exacte;

au fost distribuite corect.

Pentru a obţine o asigurare că avut loc o prelucrare completă şi exactă, se implementează un mecanism de raportare a tuturor mesajelor de eroare detectate în cursul procesării sau de furnizare a unor totaluri de control care să se compare cu cele produse în cursul

Pag. 96 din 180

introducerii, pus la dispoziţia persoanelor responsabile cu introducerea şi autorizarea datelor tranzacţiei. Aceasta poate lua forma unui registru de operaţii.

Completitudinea şi integritatea rapoartelor de ieşire depinde de restricţionarea capacităţii de modificare a ieşirilor şi de încorporarea de verificări de completitudine, cum ar fi numerotarea paginilor, şi de prezentarea unor sume de verificare.

Fişierele de ieşire trebuie să fie protejate pentru a reduce riscul modificărilor neautorizate. Motivaţii posibile pentru modificarea datelor de ieşire includ acoperirea procesării neautorizate sau manipularea rezultatelor financiare nedorite. De exemplu, fişierele de ieşire neprotejate în cadrul unui sistem de plată a notelor de plată ar putea fi exploatate prin alterarea sumelor cecurilor sau a ordinelor de plată şi a detaliilor beneficiarului. O combinaţie de controale fizice şi logice poate fi utilizată pentru protejarea integrităţii datelor de ieşire.

Datele de ieşire dintr-un sistem IT pot constitui date de intrare în alt sistem, înainte ca acestea să fie reflectate în situaţiile financiare; de exemplu, datele de ieşire dintr-un sistem care transferă statele de plată, ca date de intrare, în registrul general. Acolo unde se întâlneşte acest caz, auditorul trebuie să verifice existenţa controalelor care să asigure că datele de ieşire sunt transferate exact de la o fază de procesare la alta. Un alt exemplu ar fi în cazul în care datele de ieşire dintr-o balanţă de verificare sunt utilizate ca date de intrare într-un pachet de procesare de tabele care reformatează datele pentru a produce situaţiile financiare.

Tabelul 36 Controalele privind datele de ieşire

Cod

procedură Controale

de aplicaţie


CA10

Controale privind datele de ieşire


Se va verifica existenţa controalelor care să asigure că rezultatele furnizate de sistemul informatic sunt complete, sunt exacte; au fost distribuite corect

Se va verifica existenţa controalelor care să asigure că ieşirile de la calculator sunt stocate corect şi atunci când sunt transmise acestea ajung la destinaţie

Se va verifica existenţa controalelor corespunzătoare privind licenţele software

Se va verifica existenţa controalelor privind caracterul rezonabil, exactitatea şi completitudinea ieşirilor

Auditorul va verifica existenţa controalelor care să asigure că ieşirile de la calculator sunt stocate corect şi, atunci când sunt transmise, acestea ajung la destinaţie, va verifica existenţa controalelor corespunzătoare privind caracterul rezonabil, exactitatea şi completitudinea ieşirilor.

Pag. 97 din 180

PROCEDURA CA11 – Evaluarea controalelor privind fişierele de date permanente

Implementarea controalelor privind fişierele de date permanente trebuie să ofere asigurarea că: modificările aduse datelor sunt autorizate; utilizatorii sunt răspunzători de modificări; integritatea este păstrată.

Controalele de acces, de identificare şi autentificare puternice, pot sta la baza asigurării că datele permanente sunt create, modificate, recuperate sau şterse numai de personal autorizat. Aceste controale sunt foarte eficiente atunci când sunt implementate în sistemul de operare, deoarece vor preîntâmpina utilizarea neautorizată a facilităţilor sistemului pentru a modifica datele în afara mediului de control al aplicaţiei.

Fişierele de date permanente trebuie să fie protejate pentru a evita ca tranzacţii valabile să fie procesate incorect. De exemplu, modificarea unor detalii referitoare la furnizori poate conduce la situaţia ca o plata valabilă să fie efectuată unui beneficiar neautorizat. Controalele de acces trebuie să asigure că există o separare a sarcinilor între cei care păstrează datele permanente şi cei care introduc tranzacţii. Registrele de audit trebuie să înregistreze informaţii, precum data şi ora la care s-a făcut modificarea, identificarea persoanei responsabile şi câmpurile de date afectate. Fişierele importante de date permanente trebuie să aibă copii de rezervă ori de câte ori se fac modificări importante.

Aplicaţiile care controlează permisiunile de acces ale utilizatorului stochează detalii ale acestor permisiuni în fişierele de date permanente. Aceste fişiere trebuie să fie protejate la modificări neautorizate. Conducerea trebuie să probeze că se realizează verificări independente, care să asigure că administratorul sistemului de control al accesului aplicaţiei nu abuzează de privilegiile sale. Organizaţiile pot lista periodic conţinutul fişierelor de date permanente (de exemplu profilele de securitate ale utilizatorilor) pentru verificări operative.

Tabelul 37 Controalele privind fişierele de date permanente

Cod procedură



CA11

Controale privind fişierele de date permanente


Se va verifica existenţa şi se vor testa controalele privind autorizarea accesului şi a modificărilor datelor permanente

Se va obţine asigurarea că datele permanente sunt create, modificate, recuperate sau şterse numai de personal autorizat

Verificări operative prin listarea periodică a conţinutului fişierelor de date permanente

Fişierele importante de date permanente au copii de rezervă ori de câte ori se fac modificări importante

Conducerea trebuie să probeze că se realizează verificări independente, care să asigure că administratorul sistemului de control al accesului aplicaţiei nu abuzează de privilegiile sale

Pag. 98 din 180

Auditorul va verifica existenţa controalelor şi va testa controalele privind autorizarea accesului şi a modificărilor datelor permanente.

PROCEDURA CA12 - Evaluarea conformităţii aplicaţiilor cu legislaţia în vigoare

În cadrul entităţilor auditate, sistemele informatice care fac obiectul evaluării sunt utilizate ca suport pentru asistarea deciziei, constituind sisteme IT utilizate pentru evidenţa, prelucrarea şi obţinerea de rezultate, situaţii operative şi sintetice la toate nivelele de raportare. Din acest motiv, o categorie specială de controale IT se referă la conformitatea sistemului informatic cu cerinţele impuse de cadrul legislativ şi de reglementare.

Cerinţele legislative şi de reglementare variază de la o ţară la alta. Acestea includ: Legislaţia privind protecţia datelor private şi legislaţia privind protecţia datelor


informatice; Reglementări financiare şi bancare; Legile cu privire la proprietatea intelectuală.

Tabelul 38 Evaluarea conformităţii aplicaţiilor cu legislaţia în vigoare

Cod procedură



CA12

Conformitatea aplicaţiilor cu legislaţia în vigoare


Existenţa unor politici sau proceduri formale prin care se atribuie responsabilitatea monitorizării mediului legislativ care poate avea impact asupra sistemelor informatice

Este alocată responsabilitatea asigurării conformităţii aplicaţiilor cu clauzele contractuale privind:

asigurarea că sistemul implementat este actualizat în conformitate cu ultima versiune furnizată;

respectarea termenelor privind distribuirea ultimelor versiuni de echipamente, software, documentaţie;

livrarea şi instalarea configuraţiilor hardware / software pe baza unui grafic, conform clauzelor contractuale, pe etape şi la termenele stabilite;

respectarea obligaţiilor privind instruirea şi suportul tehnic, stabilite prin contract;

furnizarea pachetelor software conform clauzelor contractuale. Verificarea existenţei şi valabilităţii licenţelor furnizate în cadrul contractului;

Pag. 99 din 180

Cod procedură



asigurarea suportului tehnic (prin telefon, e-mail sau utilizând un portal; portalul poate avea secţiuni distincte foarte utile pentru suport tehnic specializat pe categorii relevante de probleme / anomalii sau pentru instruirea continuă a utilizatorilor;

furnizarea documentaţiei tehnice conform contractului: conţinutul (lista, numărul manualelor, limba) şi formatul (tipărit, în format electronic, on-line);

Existenţa unor proceduri scrise privind analiza şi acceptarea produselor şi serviciilor furnizate în cadrul contractului, precum şi recepţia cantitativă şi calitativă

Existenţa specificaţiilor funcţionale, a manualelor de utilizare şi administrare pentru proiectele de dezvoltare software

Existenţa manualelor de utilizare pentru echipamentele livrate

PROCEDURA CA13 - Efectuarea testelor de audit

În etapa de studiu preliminar, auditorul trebuie să obţină o înţelegere suficientă a sistemului pentru a determina dacă sistemul de controale interne este de încredere şi furnizează informaţii corecte despre acurateţea înregistrărilor. În cazul în care sistemul de controale interne nu pare a fi suficient de robust, auditorul trebuie să testeze controalele pentru a evalua riscul asupra obiectivelor auditului. În acest scop, auditorul poate utiliza tehnici şi metode de testare variate. Acestea pot fi bazate pe programe de test al conformităţii care conţin informaţii privind: descrierea controlului care va fi testat, proba de audit estimată pentru satisfacerea condiţiilor, teste extinse (inclusiv bazate pe eşantionare), descrierea funcţionării eronate a controlului, câte eşecuri pot fi tolerate. Probele de audit se colectează prin combinarea unor tehnici tradiţionale, cum ar fi observarea, interviul, examinarea şi eşantionarea, cu tehnici de auditare asistată de calculator.

Tabelul 39 Efectuarea testelor de audit

Cod procedură


Documente de lucru

Revizuiri / Teste

CA13

Efectuarea testelor de audit


Se va verifica existenţa evidenţelor complete ale tranzacţiilor aferente aplicaţiei

Se va evalua fezabilitatea colectării probelor de audit relevante şi suficiente

Pag. 100 din 180

Cod procedură


Documente de lucru

Revizuiri / Teste

Se va evalua dacă parcursul (pista) de audit se poate reconstitui din fluxul de prelucrare

Se va evalua dacă aplicaţia este disponibilă atunci când este nevoie, funcţionează conform cerinţelor, este fiabilă şi are implementate controale sigure asupra integrităţii datelor

Se va detalia procedura de actualizare a aplicaţiei în concordanţă cu modificările legislative

Se va evalua aplicaţia din punct de vedere al gestionării resurselor informatice disponibile (date, funcţionalitate, tehnologii, facilităţi, resurse umane, etc.)

Se va evalua cunoaşterea funcţionării aplicaţiei de către utilizatori

Se vor efectua teste de verificare a parametrilor şi funcţionalităţii aplicaţiei din punct de vedere operaţional şi al conformităţii cu legislaţia în vigoare

Se vor efectua teste de verificare la nivel de funcţie pentru procedurile critice din punctul de vedere al performanţei (lansarea, derularea şi abandonarea procedurilor, accesul la informaţii în funcţie de perioada de înregistrare/raportare, restaurarea bazei de date)

Se vor efectua teste privind corectitudinea încărcării / actualizării informaţiilor în baza de date. Se vor menţiona metodele de depistare şi rezolvare a erorilor. Se vor testa funcţiile de regăsire şi analiză a informaţiei

Se va evalua interoperabilitatea aplicaţiei cu celelalte aplicaţii din sistemul informatic

Se vor evalua: sistemul de raportare propriu aplicaţiei şi sistemul de raportare global

Se vor efectua teste privind modul de accesare a aplicaţiei la nivel de reţea, la nivelul staţiei de lucru şi la nivel de aplicaţie

Se vor testa funcţiile de conectare ca utilizator final şi de operare în timp real, pe tranzacţii de test

Se va evalua funcţionalitatea comunicării cu nivelele superior şi inferior

Pag. 101 din 180

Cod procedură


Documente de lucru

Revizuiri / Teste

Se va analiza soluţia de gestionare a documentelor electronice Se va efectua verificarea prin teste a protecţiilor aferente aplicaţiei

Problemele care pot apărea cu privire la încrederea în controalele de aplicaţie se pot sintetiza astfel:

(a) Controalele IT nu furnizează un istoric al operării din cauza scufundării lor în corpul aplicaţiei şi, în consecinţă, nu furnizează probe de audit explicite. (b) Perioada de timp în care acţionează controalele de aplicaţie IT este limitată, acestea acţionând, în general, pe o durată foarte scurtă a ciclului de viaţă al tranzacţiei (de exemplu, pe durata introducerii datelor). (c) Rezervele auditorilor faţă de controalele de aplicaţie IT datorate eventualităţii alterării acestora de către persoane interesate în inducerea în eroare a auditorului. (d) Rezervele auditorilor faţă de controlul preventiv asigurat, decurgând din natura controalelor IT, care nu prezintă garanţii privind funcţionarea corectă.

Majoritatea organizaţiilor folosesc produse informatice pentru gestiune şi contabilitate. Ca urmare a cerinţelor impuse informaţiei contabile de către utilizatorii acesteia, produsele informatice trebuie să îndeplinească, la rândul lor, o serie de cerinţe specifice.

2.3.1 Norme metodologice ale Ministerului Finanţelor Publice privind criterii şi cerinţe minimale pentru sistemele informatice financiar- contabilitate

În România există o multitudine de dezvoltări ale unor astfel de produse, care ar trebui să se raporteze la o serie de criterii şi cerinţe minimale reglementate, în principal, prin norme metodologice ale Ministerului Finanţelor Publice. Aceste norme se referă în principal la următoarele aspecte:

a) Pentru controlul intern

b) Actualizările sistemului informatic în concordanţă cu modificările legislative;

c) Cunoaşterea funcţionării sistemului informatic de către utilizatori (personalul de operare);

d) Accesul la date (confidenţialitate, utilizare de parole de acces la date şi la sistem);

e) Opţiuni pentru alegerea tipului de suport magnetic pentru copiile de siguranţă;

f) Posibilităţi de depistare şi rezolvare a erorilor.

a) Pentru controlul extern

a) Posibilităţi de verificare completă sau prin sondaj a procedurilor de prelucrare;

b) Posibilităţi de verificare completă sau prin sondaj a operaţiunilor înregistrate în contabilitate;

Pag. 102 din 180

c) Posibilităţi de verificare completă sau prin sondaj a fluxului de prelucrări prin teste de control.

c) Criterii minimale pentru produsele informatice de gestiune şi contabilitate

a) Concordanţa cu legislaţia în vigoare;

b) Precizarea tipului de suport care să asigure prelucrarea în siguranţă a informaţiilor;

c) Identificarea completă a fiecărei informaţii înregistrate;

d) Respectarea criteriului cronologic în liste, cu imposibilitatea actualizării ulterioare a listei;

e) Transferul automat al soldurilor precedente pentru perioada curentă;

f) Conservarea datelor (arhivarea) conform Legii contabilităţii nr. 82/1991;

g) Posibilitatea restaurării datelor arhivate;

h) Imposibilitatea actualizării datelor pentru perioadele de gestiune precedente;

i) Preluarea informaţiilor esenţiale pentru identificarea operaţiunilor: dată, denumire jurnal, număr pagină sau număr înregistrare, număr document;

j) Acces parolat;

k) Identificarea în liste a unităţii patrimoniale, a paginării cronologice, a tipului de document, a perioadei de gestiune, a datei de listare şi a versiunii de produs progam;

l) Listarea documentelor de sinteză necesare conducerii întreprinderii;

m) Respectarea conţinutului informaţional pentru formularele cu regim special;

n) Asigurarea concordanţei între cartea mare a fiecărui cont şi jurnalul de înregistrare;

o) Să respecte cerinţele de normalizare a bazelor de date cu privire la conturi şi documente;

p) Să existe posibilitatea actualizării conturilor fără afectarea situaţiilor patrimoniale şi a celei de gestiune;

q) Să existe documentaţie tehnică asociată caracteristicilor produselor program (mono / multi post, mono / multi societate, portabilitatea fişierelor, arhitectura de reţea, aplicaţii) care să permită utilizarea optimă a produselor informatice în cauză;

r) Stabilirea tipului de organizare pentru culegerea datelor (pe loturi cu control ulterior, în timp real cu control imediat, combinat);

s) Să nu fie limitat volumul informaţiilor contabile;

t) Să asigure securitatea datelor şi fiabilitatea;

u) Să existe clauze de actualizare a procedurilor de prelucrare a informaţiilor financiar-contabile;

v) Să asigure continuitatea sistemului în cazul încetării activităţii de dezvoltare software, inclusiv arhivarea şi restaurarea datelor;

w) Să funcţioneze gestiunea versiunilor.

2.3.2 Volumul de teste de control

În ceea ce priveşte determinarea volumului de teste necesare pentru obţinerea asigurării privind funcţionarea controalelor, auditorul îşi bazează decizia pe o combinaţie între

Pag. 103 din 180

raţionamentul profesional şi o modelare statistică pe care o poate efectua în acest scop. Dacă auditorul îşi propune să planifice ca testele de control să se efectueze pe un număr mare de tranzacţii, atunci va aplica metoda eşantionării datelor şi va stabili dimensiunea eşantionului.

Auditorul va efectua următoarele teste: Va verifica criteriile şi cerinţe minimale reglementate, în principal, prin normele

metodologice ale Ministerului Finanţelor Publice;

Va verifica existenţa evidenţelor complete ale tranzacţiilor aferente aplicaţiei;

Va evalua fezabilitatea colectării probelor de audit relevante şi suficiente;

Va evalua dacă parcursul (pista) de audit se poate reconstitui din fluxul de prelucrare;

Va evalua dacă aplicaţia este disponibilă atunci când este nevoie, funcţionează conform cerinţelor, este fiabilă şi are implementate controale sigure asupra integrităţii datelor;

Va detalia procedura de actualizare a aplicaţiei în concordanţă cu modificările legislative;

Va evalua aplicaţia din punct de vedere al gestionării resurselor informatice disponibile (date, funcţionalitate, tehnologii, facilităţi, resurse umane etc.);

Va evalua cunoaşterea funcţionării aplicaţiei de către utilizatori;

Va efectua teste de verificare a parametrilor şi funcţionalităţii aplicaţiei din punct de vedere operaţional şi al conformităţii cu legislaţia în vigoare;

Va efectua teste de verificare la nivel de funcţie pentru procedurile critice din punctul de vedere al performanţei (lansarea, derularea şi abandonarea procedurilor, accesul la informaţii în funcţie de perioada de înregistrare / raportare, restaurarea bazei de date);

Se vor efectua teste privind corectitudinea încărcării / actualizării informaţiilor în baza de date. Se vor menţiona metodele de depistare şi rezolvare a erorilor. Se vor testa funcţiile de regăsire şi analiză a informaţiei;

Va evalua interoperabilitatea aplicaţiei cu celelalte aplicaţii din sistemul informatic;

Va evalua sistemul de raportare propriu aplicaţiei şi sistemul de raportare global;

Se vor efectua teste privind modul de accesare a aplicaţiei la nivel de reţea, la nivelul staţiei de lucru şi la nivel de aplicaţie;

Se vor testa funcţiile de conectare ca utilizator final şi de operare în timp real, pe tranzacţii de test;

Se va evalua funcţionalitatea comunicării cu nivelele superioare şi inferioare;

Se va analiza soluţia de gestionare a documentelor electronice;

Se va efectua verificarea prin teste a protecţiilor aferente aplicaţiei.

Această listă nu este exhaustivă. În funcţie de obiectivele auditului şi de specificul sistemului / aplicaţiei auditate, auditorul poate decide efectuarea şi a altor teste care pot furniza concluzii relevante pentru formularea unei opinii corecte.

Pag. 104 din 180

Capitolul 3. Riscuri IT Riscul IT este o componentă a universului general al riscurilor organizaţiei. Alte categorii de riscuri cu care se confruntă o întreprindere includ: riscul strategic, riscul de mediu, riscul de piaţă, riscul de credit, riscul operaţional şi riscul de conformitate. Riscul legat de IT poate fi considerat, în acelaşi timp, ca find o componentă a riscului operaţional, sau a riscului strategic.

Riscul IT este un risc specific al afacerii, asociat cu utilizarea, proprietatea, operarea, implicarea, influenţa şi adoptarea IT în cadrul unei organizaţii. Se compune din evenimente legate de IT şi din condiţii care ar putea avea impact potential asupra afacerii. Acesta poate apărea cu frecvenţă şi amploare incerte, şi poate să creeze probleme în atingerea obiectivelor strategice şi a obiectivelor.

Riscurile IT pot fi clasificate în diferite moduri: Riscuri privind beneficiile/valoarea generate de IT: tehnologia ca suport pentru;

iniţiativele de afaceri noi, tehnologia ca suport pentru eficientizarea operaţiunilor

Riscuri privind livrarea programelor şi proiectelor IT: calitatea proiectului, relevanţa proiectului, perturbări în derularea proiectului;

Riscuri privind operarea şi livrarea serviciilor IT: stabilitatea în funcţionare, disponibilitatea, protecţia şi recuperarea serviciilor, probleme de securitate, cerinţe de conformitate.

Multe probleme legate de riscul IT pot apărea din cauza problemelor generate de terţi (furnizarea de servicii, dezvoltarea de soluţii), parteneri IT şi parteneri de afaceri. Prin urmare, buna gestionare a riscurilor IT impune dependenţe semnificative care urmează să fie cunoscute şi bine înţelese. Datorita importanţei IT pentru organizaţie (afacere), riscurile IT ar trebui să fie tratate la fel ca alte riscuri cheie ale afacerii, cum ar fi riscul strategic, riscul de mediu, riscul de piaţă, riscul de credit, riscurile operaţionale şi riscul de conformitate, toate acestea având impact major asupra îndeplinirii obiectivelor strategice. În acest sens, în conformitate cu OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinzând standardele de management/control intern la entităţile publice şi pentru dezvoltarea sistemelor de control managerial, instituţiile publice sunt obligate să întocmescă şi să actualizeze periodic un registru al riscurilor care va avea o secţiune dedicată riscurilor IT.

Riscul IT nu este doar o problemă tehnică. Deşi experţii în IT sunt interesaţi să înţeleagă şi să gestioneze aspectele legate de riscurile IT, managementul este cel mai important dintre părţile interesate.

3.1 Probleme cu impact semnificativ asupra riscului de audit

În cazul informatizării unei părţi semnificative a activităţii entităţii, se impune evaluarea influenţei utilizării sistemului informatic asupra riscurilor auditului (inerent şi de control), având în vedere aspectele legate de relevanţa şi credibilitatea probelor de audit. Vom prezenta în continuare o serie de probleme tipice cu impact semnificativ asupra riscului de audit.

Pag. 105 din 180

(a) Complexitatea fluxurilor de prelucrare poate genera lipsa formelor intermediare pe care le parcurge tranzacţia, generându-se în cele mai multe cazuri numai o formă finală şi uneori numai în format electronic sau disponibilă numai pentru o perioadă scurtă de timp. În lipsa unor proceduri de validare adecvate, erorile pot fi dificil de detectat prin proceduri manuale, proba de audit fiind neconcludentă.

(b) Alterarea probelor de audit poate fi cauzată de existenţa unor anomalii sau erori sistematice ale funcţionării programelor, care afectează prelucrarea întregului fond de date şi duc la obţinerea unor rezultate eronate, greu de corectat prin proceduri manuale, având în vedere volumul mare al tranzacţiilor şi complexitatea algoritmilor de prelucrare.

(c) Concentrarea operării unor proceduri cu funcţionalitate incompatibilă la nivelul aceluiaşi individ, proceduri care, potrivit legislaţiei sau reglementărilor interne privind separarea atribuţiilor, ar trebui operate de către persoane diferite, generează executarea unor funcţii incompatibile şi posibilitatea accesului şi alterării conţinutului informaţional în funcţie de interese personale. O cerinţă importantă legată de operarea sistemului informatic este distribuirea aplicaţiilor în cadrul entităţii şi alocarea drepturilor de utilizare în conformitate cu necesitatea separării atribuţiilor, impusă de legislaţie.

(d) Datorită intervenţiei umane, care nu are întotdeauna asociate protecţii stricte privind autorizarea accesului şi intervenţia asupra fondului de date, în dezvoltarea, întreţinerea şi operarea sistemului informatic, există un potenţial foarte mare de alterare a fondului de date fără o dovadă explicită.

(e) Ca urmare a gestionării automate a unui volum mare de date, fără implicare umană, există riscul nedetectării pentru o perioadă lungă de timp a unor erori datorate unor anomalii de proiectare sau de actualizare a unor componente software.

(f) În cazul unor proceduri sau tranzacţii executate în mod automat, autorizarea acestora de către management poate fi implicită prin modul în care a fost proiectat şi dezvoltat sistemul informatic şi pentru modificările ulterioare, ceea ce presupune lipsa unei autorizări similare celei din sistemul manual, asupra procedurilor şi tranzacţiilor.

(g) Eficacitatea procedurilor manuale de control este afectată de eficacitatea controalelor IT în situaţia în care procedurile manuale se bazează pe documente şi rapoarte produse în mod automat de sistemul informatic.

(h) Extinderea structurii de control intern cu controale specializate, bazate pe utilizarea tehnologiei informaţiei, are efecte în planul monitorizării activităţii entităţii prin utilizarea unor instrumente analitice oferite de sistemul informatic.

(i) Efectuarea testelor de control asupra unui volum mare de date, prin utilizarea tehnicilor şi instrumentelor de audit asistat de calculator, este facilitată de existenţa unor proceduri de prelucrare şi analiză oferite de sistemul informatic.

(j) Evaluarea riscurilor în cazul misiunilor de audit în mediu informatizat trebuie să aibă în vedere probabilitatea obţinerii unor informaţii eronate cu impact

Pag. 106 din 180

semnificativ asupra auditului ca rezultat al unor deficienţe în funcţionarea sistemului informatic. Aceste deficienţe pot fi legate atât de calitatea infrastructurii hardware şi/sau software, de dezvoltarea şi întreţinerea aplicaţiilor, de operarea sistemului, de securitatea sistemului şi a informaţiilor, de calitatea personalului implicat în funcţionarea sistemului, de calitatea documentaţiei tehnice, cât şi de intervenţiile neautorizate asupra aplicaţiilor, bazelor de date sau de condiţiile procedurale impuse în cadrul sistemului.

În proiectarea procedurilor de audit, se vor lua în considerare restricţiile impuse de mediul informatic şi se vor alege soluţii care să reducă riscul de audit: proceduri manuale de audit, tehnici de audit asistat de calculator, o soluţie mixtă, în scopul obţinerii unor probe de audit de încredere.

3.2 Riscurile generate de existenţa mediului informatizat

Înţelegerea aspectelor legate de infrastructura IT, de managementul serviciilor IT, precum şi a procedurilor de evaluare şi management al riscurilor este fundamentală în efectuarea auditului.

Evaluarea riscurilor generate de funcţionarea sistemului informatic, prin analiza unor arii de risc cu impact în desfăşurarea activităţii entităţii auditate, respectiv: dependenţa de IT, resurse şi cunoştinţe IT, încrederea în IT, schimbări în IT, externalizarea IT, securitatea informaţiei, respectarea legislaţiei în vigoare, este esenţială.

3.2.1 Dependenţa de IT

Dependenţa de tehnologiile informaţiei este un factor cheie în condiţiile în care tendinţa actuală este de a se generaliza utilizarea calculatoarelor în toate domeniile economice şi sociale. În scopul evaluării dependenţei conducerii de tehnologiile informaţiei, auditorul va examina următoarele aspecte relevante: gradul de automatizare al entităţii, complexitatea sistemelor informatice utilizate şi timpul de supravieţuire al entităţii în lipsa sistemului IT.

Tabelul 40

Dependenţa de IT

Arii de risc

Factori de risc Documente

de lucru

Gradul de automatizare

Numărul şi importanţa sistemelor informatice sau aplicaţiilor care funcţionează şi sunt utilizate în cadrul entităţii pentru conducerea proceselor

Ponderea activităţilor informatizate în totalul activităţilor entităţii

Gradului de acoperire a necesităţilor în compartimentele funcţionale şi la nivelul conducerii

LV_Riscuri

Pag. 107 din 180

Arii de risc Factori de risc

Documente de lucru

Complexitatea sistemului IT

Volumul tranzacţiilor gestionate de fiecare din aplicaţiile informatice (subsisteme) şi forma de prezentare (alfanumerică, multimedia, analogică)

Tehnologia utilizată, pentru fiecare din subsistemele sistemului informatic

Modul de operare (în timp real sau în loturi)

Volumul tranzacţiilor generate automat de către aplicaţii

Modul de preluare a datelor: în format electronic sau manual (suport hârtie), în timp real sau pe loturi

LV_Riscuri

Timpul de supravieţuire fără IT

Consecinţele asupra activităţii curente în eventualitatea întreruperii funcţionării sistemului informatic sau a unui subsistem

Sistemul prelucrează un volum mare de tranzacţii, are la bază algoritmi şi modele complexe a căror rezolvare nu se poate efectua manual

Întreaga activitate este informatizată iar substituirea procedurilor automate prin proceduri manuale este foarte costisitoare sau imposibilă

Posibilitatea limitată de refacere a funcţionalităţii, costurile, intervalul de timp necesar pentru reluarea funcţionării, impact economic, social, de imagine, etc.

LV_Riscuri

3.2.2 Resurse şi cunoştinţe IT

Politica de personal şi de instruire

Erorile şi omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea riscurilor cauzate de greşelile umane, entitatea trebuie să implementeze controale şi proceduri în cadrul unor politici de personal adecvate: o structură organizaţională clară, formalizată în organigrama entităţii, descrierea posturilor, planificarea personalului, instruirea şi dezvoltarea personalului, politici de angajare/concediere (inclusiv coduri de conduită), evaluarea personalului (promovare/retrogradare), contracte speciale, rotaţia personalului, concediile personalului.

Tabelul 41 Resurse şi cunoştinţe IT

Arii de risc


de lucru

Aptitudini curente

Structura profesională a angajaţilor din compartimentul IT (organigramă, număr, stat funcţiuni, fişe de post etc.)

LV_Riscuri

Pag. 108 din 180

Arii de risc


de lucru Nivelul de pregătire al angajaţilor IT în raport cu necesităţile activităţii curente

Anumite cunoştinţe IT concentrate la nivelul unui număr restrâns de personal

Metodele de evaluare a personalului IT

Resurse comparate cu volumul de muncă

Numărul personalului IT în raport cu volumul de muncă

Supraîncărcarea personalului IT

Activitatea personalului IT nu este una specifică exclusiv domeniului IT

LV_Riscuri

Fluctuaţia personalului

Fluctuaţia personalului IT în ultima perioadă (de exemplu, 3 ani)

Insatisfacţia profesională

Moralul personalului IT (nivel de salarizare, stimulente, posibilităţi de promovare, stagii de pregătire şi de perfecţionare etc.).

LV_Riscuri

3.2.3 Încrederea în IT

Încrederea actorilor implicaţi în utilizarea sistemelor informatice sau în valorificarea rezultatelor furnizate de acestea în cadrul unei entităţi (management, utilizatori, auditori) este determinată atât de calitatea informaţiilor obţinute, cât şi gradul în care se asigură utilizarea tehnologiilor informatice ca instrumente accesibile şi prietenoase în activitatea curentă.

Tabelul 42 Încrederea în IT

Arii de risc


de lucru

Complexitatea sistemului şi documentaţia aplicaţiilor informatice

Încrederea conducerii de vârf şi a personalul implicat în proiectele legate de implementarea serviciilor IT, în implementarea programelor şi proiectelor

Percepţia privind complexitatea calculelor şi a proceselor controlate de către sistemele IT, prin amploarea automatizării activităţilor desfăşurate în cadrul entităţii, prin calitatea şi varietatea interfeţelor, prin informaţiile documentare aferente utilizării aplicaţiilor şi sistemului

Cum este apreciată complexitatea sistemului de către personalul implicat în coordonare, administrare, întreţinere şi utilizare

În ce constau şi cum sunt apreciate documentaţia şi suportul metodologic (calitatea slabă generează practici de lucru

LV_Riscuri

Pag. 109 din 180

Arii de risc


de lucru neautorizate adoptate de personalul IT, creşterea numărului de erori produse de personalul IT, dificultatea întreţinerii sistemului, precum şi dificultatea diagnosticării erorilor

Politici neadecvate în ceea ce priveşte existenţa şi calitatea documentaţiei, păstrarea şi utilizarea documentaţiei actualizate la ultima versiune şi păstrarea unei copii a documentaţiei într-un loc sigur în afara sediului entităţii

Asistenţa, cum ar fi cea de tip helpdesk nu este furnizată pe tot intervalul în care este necesară utilizatorilor

Integrarea / fragmentarea aplicaţiilor

Entitatea nu deţine o soluţie integrată a sistemului informatic, acesta fiind constituit din implementări de aplicaţii insularizate, dedicate unor probleme punctuale (aplicaţia financiar-contabilă, aplicaţii dedicate activităţii de bază a entităţii, etc.)

Dficultatea (sau chiar imposibilitatea) de a asigura interoperabilitatea aplicaţiilor şi a evita multiplicarea informaţiilor

Validarea într-o manieră eterogenă, respectiv prin proceduri automate combinate cu proceduri manuale, pentru a se asigura detectarea şi corectarea erorilor de intrare, precum şi detectarea inconsistenţei sau redundanţei datelor

Existenţa unor baze de date diverse, unele instalate pe platforme hardware/software învechite

Existenţa unor interfeţe utilizator diferite şi uneori neadecvate

Existenţa unor facilităţi de comunicaţie reduse şi a unor probleme de securitate cu riscuri asociate

Existenţa unor probleme de securitate cu riscuri asociate

LV_Riscuri

Competenţa şi încrederea personalului în dezvoltare, implementare şi suport

Personalul este informat despre necesitatea şi beneficiile care decurg din utilizarea sistemului IT

Personalul înţelege ce roluri va juca şi ce aşteptări sunt de la acesta

Cum este apreciată receptivitatea utilizatorilor

Utilizatorii consideră utilă implementarea sistemului

Utilizatorii consideră dificilă utilizarea sistemului

Cultura organizaţională permite o forţă de muncă mobilă, flexibilă şi adaptabilă

LV_Riscuri

Pag. 110 din 180

Arii de risc


de lucru

Erori sistematice/ intervenţii manuale

Erori raportate în cadrul utilizării sistemului

Calitatea slabă a suportului tehnic pentru analiza şi corectarea erorilor în mediul de producţie

Numărul, frecvenţa şi tipul erorilor constatate în cazul fiecărei aplicaţii în parte

Lipsa procedurilor de semnalare a anomaliilor, erorilor sau incidentelor şi a modalităţilor de corectare/rezolvare

Măsura în care datele generate de aplicaţii suferă prelucrări manuale ulterioare din partea utilizatorilor

Gradul ridicat de fragmentare a aplicaţiilor informatice implică acţiuni frecvente ale utilizatorului în procesul de prelucrare şi influenţe în ceea ce priveşte respectarea fluxului documentelor

Există probleme de reconciliere între diversele aplicaţii sau chiar în cadrul aceleiaşi aplicaţii

LV_Riscuri

Scalabilitate

Măsura în care sistemul poate suporta diversificarea aplicaţiilor

Soluţia arhitecturală implementată şi de estimările iniţiale privind dimensiunea bazei de date şi complexitatea prelucrărilor nu permit creşteri semnificative ale volumului de tranzacţii generate de schimbări majore în activitatea entităţii

LV_Riscuri

Sisteme depăşite

Tehnologia folosită nu este de ultimă generaţie

Dificultatea sau imposibilitatea adecvării ritmului schimbărilor sistemelor informatice cu nivelul tehnologic

Lipsa unor politici de înlocuire a sistemelor depăşite şi de creştere continuă a nivelului tehnologic

LV_Riscuri

3.2.4 Schimbări în domeniul sistemelor IT / IS

Cu toate că în urma procesului de dezvoltare un sistem nou a fost acceptat, pe durata sa de viaţă el trebuie întreţinut, schimbat sau modificat, fapt care poate afecta funcţionalitatea de bază a acestuia. Revizuirea controalelor schimbării şi adaptarea acestora sunt necesare pentru a asigura continuitatea sistemelor în ceea ce priveşte funcţionalitatea şi modul de operare.

Pag. 111 din 180

Tabelul 43 Schimbări în domeniul IT / IS

Arii de risc

Factori de risc Documente de

lucru

Dezvoltarea de aplicaţii informatice

Lipsa unei metodologii de dezvoltare internă a aplicaţiilor informatice

Schimbări neautorizate accidentale sau deliberate ale sistemelor

Termene depăşite pentru rezolvarea unor probleme:

Raportări şi prelucrări eronate:

Dificultăţi de întreţinere

Utilizarea de hardware şi software neautorizate

Probleme privind schimbările de urgenţă

Reputaţia furnizorilor externi IT şi a sistemelor folosite

LV_Riscuri

Noi tehnologii

Dacă schimbările în sistemele IT au în vedere tehnologii de ultima generaţie

LV_Riscuri

Modificări ale proceselor activităţii

În ce măsură se vor impune în viitorul apropiat modificări structurale ale proceselor activităţii care să atragă modificări ale sistemul informatic

Dacă este pregătit cadrul legal în acest sens

LV_Riscuri

3.2.5 Externalizarea serviciilor IT

Externalizarea serviciilor se referă la furnizarea unor servicii IT, sau conexe acestora, de către o organizaţie independentă de entitatea auditată, prin următoarele forme: contract cu o terţă parte pentru furnizarea completă a serviciilor IT către entitatea auditată (outsourcing), contract cu o terţă parte pentru utilizarea curentă şi întreţinerea echipamentelor şi a aplicaţiilor care sunt în proprietatea entităţii auditate, precum şi contractarea unor servicii punctuale pe criterii de performanţă în funcţie de necesităţi şi de costurile pieţei, asociată cu diminuarea sau eliminarea anumitor părţi din structura departamentului IT, în cazul în care externalizarea funcţiilor aferente acestora este mai eficientă.

Opţiunea privind externalizarea serviciilor IT trebuie să se bazeze pe o bună cunoaştere a pieţei în scopul alegerii celei mai adecvate soluţii privind: reputaţia furnizorilor, costurile corelate cu calitatea serviciilor.

Pag. 112 din 180

Tabelul 44 Externalizarea serviciilor IT

Arii de risc

Factori de risc

Documente de lucru

Externalizarea

Nivelul externalizării, incluzând suportul tehnic, operare, dezvoltare, suport utilizatori etc.

Drepturi de acces în auditul extern

Controlul privind securitatea sistemului

Pierderea flexibilităţii

Costul schimbărilor

Pierderea specialiştilor interni proprii şi a expertizei în domeniu

Rezistenţa personalului

LV_Riscuri

Furnizorii IT

Riscurile care decurg din contractele cu furnizorii

Dependenţa de furnizorul de servicii IT

LV_Riscuri

Dezvoltarea de aplicaţii informatice de către utilizatori

În ce măsură aplicaţiile informatice sunt dezvoltate intern

Lipsa unui suport metodologic adecvat

Lipsa specialiştilor IT

LV_Riscuri

3.2.6 Focalizarea pe afacere

Lansarea unor investiţii în IT, efectuată la începutul unei afaceri sau schimbările necesare pe parcursul acesteia vor fi supuse unor analize privind obiectivele investiţiilor IT, configuraţiile necesare, personalul IT implicat în proiecte, soluţiile de achiziţie sau de dezvoltare, finanţarea proiectelor, etc. Deciziile luate de managementul de vârf al entităţii în legătură cu direcţiile de dezvoltare în domeniul IT trebuie formalizate şi documentate într-un document denumit Strategia IT în care se identifică toate proiectele şi activităţile IT care vor face obiectul finanţărilor.

Deciziile şi schimbările planificate specificate în strategia IT sunt preluate şi detaliate în planurile anuale ale departamentului IT. Deşi strategia are un efect minimal pentru auditul efectuat pentru o perioadă de un an, ea oferă o imagine în legătură cu o perspectivă mai îndelungată (următorii ani) şi îl avertizează pe auditor în ceea ce priveşte problemele care pot să apară în viitor.

Pag. 113 din 180

Tabelul 45 Focalizarea pe afacere

Arii de risc

Factori de risc

Documente de lucru

Corelaţia între strategia IT şi strategia întregii afaceri

Obiectivele departamentului IT nu sunt consistente cu obiectivele întregii afaceri

Planificarea anuală a departamentului IT este realizată pe baza prevederilor strategiei

LV_Riscuri

Conştientizarea conducerii privind riscurile IT

În ce măsura conducerea este conştientă de importanţa sistemelor IT şi a riscurilor conexe

LV_Riscuri

Necesităţi curente comparativ cu funcţionalitatea sistemului informatic

Dacă sistemul informatic acoperă necesităţile activităţii curente

Flexibilitatea şi adaptabilitatea sistemelor IT

Investiţiile IT nu constituie cheltuieli care se justifică prin efectele pe care le au asupra afacerii

LV_Riscuri

3.2.7 Securitatea informaţiei

Poziţia entităţii referitoare la securitatea informaţiei trebuie exprimată în Politica de securitate IT, care stabileşte cu claritate politicile, principiile şi standardele specifice privind securitatea, precum şi cerinţele de conformitate cu acestea, controalele detaliate privind securitatea, responsabilităţile şi sarcinile personalului în ceea ce priveşte securitatea IT, modalităţile de raportare în caz de incidente.

Tabelul 46 Securitatea informaţiei

Arii de risc

Factori de risc

Documente de lucru

Motivaţia pentru fraudă/ infracţiuni (internă şi externă)

Tipurile de informaţii gestionate de către fiecare din aplicaţiile (subsistemele) informatice

Dezvăluiri neautorizate prin acces la informaţii confidenţiale

Măsura în care ar fi afectată reputaţia instituţiei în caz de fraudă

LV_Riscuri

Sensibilitatea datelor

Cât de confidenţiale sunt datele gestionate de către aplicaţiile informatice

Interesul manifestat pentru informaţiile confidenţiale Deteriorarea imaginii

LV_Riscuri

Pag. 114 din 180

Arii de risc

Factori de risc

Documente de lucru

Pierderi financiare

Legislaţie şi regulamente

Domeniul de activitate este puternic reglementat

Dezvăluirea neautorizată a informaţiilor confidenţiale, accidentală sau deliberată

Contravenţii la legislaţia privind drepturile de proprietate intelectuală şi de protecţie a datelor private

Caracterul anonim al unor utilizatori care vor să contravină principiilor accesului în Internet

acţiunile hackerilor, pirateria şi pornografia; acţiunea unui software rău intenţionat (viruşi,

programe de tip "cal troian")

LV_Riscuri

3.2.8 Protecţia fizică a sistemelor IT

Managementul entităţii are responsabilitatea de a asigura existenţa controalelor adecvate pentru protejarea bunurilor şi a resurselor afacerii. În acest scop trebuie să se implice în identificarea ameninţărilor asupra sistemelor, a vulnerabilităţii componentelor sistemului şi a impactului pe care îl pot avea aceste incidente asupra afacerii, să identifice măsurile adecvate pentru a reduce riscul la un nivel acceptabil. De asemenea, va balansa riscurile identificate cu costul implementării controalelor. Politica de securitate a entităţii trebuie să includă consideraţii privind riscurile accesului fizic şi ale deteriorării mediului în care funcţionează sistemele de calcul.

Tabelul 47 Protecţia fizică a sistemelor IT

Arii de risc

Factori de risc

Documente de lucru

Protecţia fizică

Măsuri pentru a preveni distrugerea sau deteriorarea accidentală sau intenţionată din partea personalului (personalul IT, personalul care asigură curăţenia, personalul care asigură securitatea, alţi salariaţi)

Măsuri pentru a preveni furtul calculatoarelor sau al componentelor

Măsuri pentru a preveni efectele vârfurilor sau căderilor de curent electric care pot produce deteriorarea componentelor şi pierderea sau alterarea informaţiilor

Implementarea controalelor accesului logic (parole de acces), având acces fizic la server

Accesul la informaţii "sensibile" sau confidenţiale

LV_Riscuri

Pag. 115 din 180

Arii de risc

Factori de risc

Documente de lucru

Asigurarea condiţiilor de mediu

Măsuri pentru a preveni distrugeri provocate de foc, apă sau de alte dezastre naturale

Măsuri pentru a preveni căderi ale sistemului datorate creşterilor sau scăderilor de temperatură sau umiditate peste/sub limitele normale admise

LV_Riscuri

3.2.9 Operarea sistemelor IT

Rolul şi îndatoririle privind operarea sistemelor IT se reflectă în următoarele activităţi:

1. Planificarea capacităţii: asigurarea că sistemele de calcul vor continua să asigure servicii cu nivel de performanţă satisfăcător pe o perioadă mare de timp. Aceasta implică: personal de operare IT, capacitate de calcul şi de memorare, capacitate de încărcare a reţelei.

2. Monitorizarea performanţei: monitorizarea zilnică a performanţei sistemului în termenii măsurării timpului de răspuns.

3. Încărcarea iniţială a programelor: iniţializarea sistemelor sau instalarea de software nou.

4. Managementul suporţilor tehnici: include controlul discurilor, al benzilor, al discurilor compacte (CD ROM), al dischetelor, etc.

5. Programarea proceselor de calcul: include programarea proceselor care se desfăşoară în paralel cu programele curente şi efectuează în principal actualizări de fişiere. Acestea se execută în general periodic (zilnic, săptămânal, lunar, trimestrial sau anual).

6. Salvări şi recuperări în caz de dezastru: salvarea datelor şi a programelor se efectuează regulat de către personalul de operare.

7. Asigurarea suportului (Helpdesk) şi managementul problemelor: helpdesk reprezintă modalitatea de a face legătura între utilizatori şi personalul din departamentul IT, ori de câte ori apar probleme în operarea calculatorului. Problemele pot să apară în programe individuale (aplicaţii şi sisteme), hardware, sau telecomunicaţii.

8. Întreţinerea: se referă atât la hardware, cât şi la software.

9. Monitorizarea reţelei şi administrare: majoritatea calculatoarelor utilizate în afaceri sau în administraţie funcţionează în reţea. Funcţia de operare IT presupune responsabilitatea asigurării că legăturile de comunicaţie sunt întreţinute şi furnizează utilizatorilor accesul în reţea la nivelul aprobat. Reţelele sunt în mod special importante când organizaţia utilizează schimburi electronice de date.

Pag. 116 din 180

Tabelul 48 Operarea sistemelor IT

Arii de risc

Factori de risc

Documente de lucru

Managementul operaţiilor

Planificarea capacităţii pentru asigurarea că sistemele de calcul vor continua să furnizeze servicii cu nivel de performanţă satisfăcător pe o perioadă mare de timp: personal de operare IT, capacitate de calcul şi de memorare, capacitate de încărcare a reţelei

Monitorizarea zilnică a performanţei sistemului în termenii măsurării timpului de răspuns

Încărcarea iniţială a programelor: iniţializarea sistemelor sau instalarea de software nou

Managementul suporţilor tehnici: controlul discurilor, al benzilor, al discurilor compacte (CD ROM), al dischetelor, etc.

Programarea proceselor de calcul: programarea proceselor care se desfăşoară în paralel cu programele curente şi efectuează în principal actualizări de fişiere, periodicitate

Salvări şi recuperări în caz de dezastru: salvarea datelor şi a programelor se efectuează regulat de către personalul de operare

Asigurarea suportului (Helpdesk) şi managementul problemelor: helpdesk

Întreţinerea: se referă atât la hardware, cât şi la software.

Monitorizarea reţelei şi administrare: responsabilitatea asigurării că legăturile de comunicaţie sunt întreţinute şi furnizează utilizatorilor accesul în reţea la nivelul aprobat

LV_Riscuri

Operarea sistemelor IT

Aplicaţiile nu se execută corect din cauza operării greşite a aplicaţiilor sau a utilizării unei versiuni incorecte, a unor parametri de configurare incorecţi introduşi de personalul de operare

Pierderea sau alterarea aplicaţiilor financiare sau a fişierelor de date datorată utilizării greşite sau neautorizate a unor programe utilitare

Personalul IT nu ştie să gestioneze rezolvarea problemelor sau raportarea erorilor din lipsa instruirii sau documentaţiei

Întârzieri şi întreruperi în prelucrare datorate alocării unor priorităţi greşite în programarea sarcinilor

Lipsa salvărilor şi a planificării incidentelor probabile creşte riscul incapacităţii de a continua prelucrarea în urma unui dezastru

Lipsa capacităţii (resurselor) sistemului din cauza supraîncărcării

LV_Riscuri

Pag. 117 din 180

Arii de risc

Factori de risc

Documente de lucru

Timpul mare al căderilor de sistem până la remedierea erorii

Probleme ale utilizatorilor nerezolvate datorită funcţionării defectuoase a facilităţii Helpdesk.

3.2.10 Dezvoltări efectuate de utilizatorii finali

Dezvoltările efectuate de utilizatori într-un mediu informatizat este o activitate dificil de controlat, întrucât utilizatorii nu adoptă standardele sau bunele practici utilizate de specialiştii din departamentul IT. Acest mediu necontrolat poate conduce la consum de timp, efort şi costuri suplimentare, precum şi la riscuri majore în cazul în care utilizatorii care dezvoltă programe prelucrează şi tranzacţii financiare.

În ceea ce priveşte dezvoltarea de sisteme informatice de către utilizatori, auditorul va evalua riscurile care decurg din dezvoltarea internă a sistemelor informatice (resurse de dezvoltare / implementare / şcolarizare, etc.). Se vor trata diferenţiat cazurile în care entitatea are un departament IT care are ca atribuţii dezvoltarea de sisteme şi aplicaţii, de cele în care dezvoltările se fac ad-hoc, fără utilizarea unui suport metodologic adecvat şi fără participarea unor specialişti cu atribuţii definite în acest domeniu.

Tabelul 50

Dezvoltări efectuate de utilizatori

Arii de risc

Factori de risc

Documente de lucru

Dezvoltări efectuate de utilizatori

Amploarea aplicaţiilor dezvoltate de către utilizatori

Dezvoltarea programelor de către utilizatori este realizată de personal lipsit de experienţă, neinstruit în dezvoltarea de sisteme software şi lipsit de asistenţă de specialitate din partea departamentului IT

Protejarea informaţiilor faţă de accesul utilizatorilor

Datele extrase din aplicaţiile de baza sunt supuse unor prelucrări manuale ulterioare

Duplicarea efortului rezultă din efectuarea unor sarcini care se execută şi în departamentul de informatică pentru rezolvarea aceleiaşi probleme, în lipsa unei coordonări unitare

Inconsistenţa datelor datorită utilizării sistemului distribuit care prelucrează date inconsistente din departamente diferite

Creşterea costurilor de utilizare a serviciilor IT (cerinţele de instruire suplimentare; o mai mare solicitare a serviciilor helpdesk; alte costuri adiţionale ascunse aferente timpului suplimentar pe care utilizatorul îl foloseşte pentru rezolvarea problemelor, comparativ cu specialiştii IT, sistemele dezvoltate de utilizatori au tendinţa de a utiliza mai puţin eficient resursele de calcul)

LV_Riscuri

Pag. 118 din 180

Arii de risc

Factori de risc

Documente de lucru

Conformitatea cu legislaţia. În lipsa unei legături cu departamentul IT, utilizatorii riscă să nu respecte legislaţia asociată domeniului IT (utilizarea calculatoarelor, memorarea informaţiilor cu caracter personal sau secrete, drepturile de proprietate intelectuală) şi sunt tentaţi să utilizeze software neautorizat

Pierderea datelor se poate datora următoarelor motive: virusarea calculatoarelor, securitatea accesului logic sau fizic

Conducerea nu este conştientă de riscurile dezvoltărilor efectuate de utilizatori

Pag. 119 din 180

Capitolul 4. Evaluarea mediului informatizat în entităţile mici

4.1 Evaluarea mediului informatizat cu calculatoare PC individuale

Calculatoarele individuale, neinstalate în reţea pot fi utilizate pentru procesarea tranzacţiilor contabile şi obţinerea de rapoarte care sunt esenţiale pentru întocmirea situaţiilor financiare. Pe aceste calculatoare poate fi operaţional întregul sistem financiar contabil sau numai o parte a acestuia.

Având în vedere complexitatea redusă, mediile IT în care sunt utilizate calculatoare individuale neinstalate în reţea sunt diferite de mediile IT complexe, prin faptul că anumite controale şi măsuri de securitate care sunt folosite pentru sistemele mari pot să nu fie aplicabile în cazul calculatoarelor individuale. Pe de altă parte, anumite tipuri de controale interne devin mai importante datorită particularităţilor implementării şi utilizării calculatoarelor în mod individual şi anume:

Calculatoarele neinstalate în reţea pot fi operate de un singur utilizator sau de mai mulţi utilizatori la momente diferite, care accesează acelaşi program sau programe diferite de pe acelaşi calculator.

Utilizatorul unui calculator neinclus în reţea care procesează aplicaţii contabile desfăşoară, în multe situaţii, activităţi care în mod normal necesită separare de atribuţii (de exemplu, introducerea de date şi operarea programelor de aplicaţii). Deşi, în mod normal, utilizatorii nu au cunoştinţe de programare, ei pot utiliza pachete de programe proprii sau furnizate de terţi, cum ar fi foi de lucru electronice sau aplicaţii de baze de date, şi, implicit, pot altera informaţiile din aplicaţia financiar-contabilă.

Structura organizaţională în cadrul căreia este utilizat un calculator neinclus în reţea este importantă pentru evaluarea riscurilor şi a dimensiunii controalelor cerute pentru reducerea acelor riscuri. Eeficienţa controalelor asociate unui calculator neinclus în reţea utilizat în cadrul unei organizaţii mai mari poate depinde de o structură organizatorică ce separă în mod clar responsabilităţile şi restricţionează utilizarea calculatorului respectiv pentru anumite funcţii specifice, în timp ce pentru o organizaţie mică, separarea atribuţiilor la nivelul utilizării calculatorului, nefiind posibilă.

Multe calculatoare pot fi folosite ca parte a unei reţele sau în mod individual. În primul caz, auditorul ia în considerare riscurile suplimentare induse de accesul în reţea.

4.1.1 Particularităţile auditului în medii cu calculatoare individuale

Calculatoarele personale (PC) sunt orientate spre utilizatori finali individuali. Gradul de acurateţe şi credibilitatea informaţiilor financiare depind, parţial, de controalele interne pe care utilizatorul le adoptă fie voluntar, fie pentru că au fost prescrise de către conducere. Procedurile de control implementate sunt corelate cu complexitatea mediului

Pag. 120 din 180

de afaceri în care operează calculatoarele personale, acesta fiind mai puţin structurat decât un mediu IT complex, şi, în consecinţă, nivelul controalelor generale fiind mai scăzut.

Auditul în medii cu calculatoare individuale se va axa pe următoarele direcţii:

a) Evaluarea procedurilor şi politicilor organizaţionale Pentru obţinerea unei înţelegeri a mediului de control IT pentru calculatoarele neinstalate în reţea, auditorul ia în considerare structura organizatorică a entităţii şi, în special, alocarea responsabilităţilor referitoare la prelucrarea datelor. Politicile şi procedurile eficiente de achiziţie, implementare, operare şi întreţinere a calculatoarelor neincluse în reţea pot îmbunătăţi mediul de control general. Lipsa unor astfel de politici poate conduce la utilizarea de către entitate a programelor expirate şi la erori în datele şi informaţiile generate de astfel de programe, ducând în acelaşi timp şi la un risc crescut de apariţie a fraudei. Astfel de politici şi proceduri includ următoarele:

Standarde referitoare la achiziţie, implementare şi documentare; Programe de pregătire a utilizatorilor; Recomandări cu privire la securitate, copii de back-up şi stocare; Gestiunea parolelor; Politici privind utilizarea personală; Standarde referitoare la achiziţionarea şi utilizarea produselor software; Standarde de protecţie a datelor; Întreţinerea programului şi suport tehnic; Un nivel corespunzător de separare a sarcinilor şi responsabilităţilor; Protecţie împotriva viruşilor.

b) Evaluarea protecţiei fizice a echipamentelor Din cauza caracteristicilor lor fizice, calculatoarele neinstalate în reţea şi mediile lor de stocare sunt susceptibile de furt, deteriorare fizică, acces neautorizat sau utilizare greşită. Protecţia fizică se realizează prin următoarele metode:

Închiderea lor într-o cameră, într-un dulap de protecţie sau într-un înveliş protector;

Utilizarea unui sistem de alarmă care este activat ori de câte ori calculatorul este deconectat sau deplasat de la locul lui;

Fixarea calculatorului de o masă; Politici care să menţioneze procedurile corecte care trebuie urmate atunci când se

călătoreşte cu un laptop sau când acesta se foloseşte în afara biroului; Criptarea fişierelor cheie; Instalarea unui mecanism de închidere pentru a controla accesul la întrerupătorul

de pornire/oprire al calculatorului. Acesta nu poate să prevină furtul calculatorului, dar poate preveni folosirea neautorizată a acestuia;

Implementarea controalelor de mediu pentru prevenirea daunelor de pe urma dezastrelor naturale, cum ar fi incendii, inundaţii etc.

c) Evaluarea protecţiei fizice a mediilor portabile şi fixe Programele şi datele instalate pe un calculator pot fi stocate pe medii de stocare portabile (dischetă, CD, stik) şi fixe (hard-disk). În plus, componentele interioare ale multor calculatoare, în special ale laptop-urilor sunt uşor accesibile. Atunci când un calculator

Pag. 121 din 180

este folosit de mai multe persoane, este mai probabil ca mediile de stocare să fie pierdute, modificate fără autorizare sau distruse.

Este responsabilitatea utilizatorului să protejeze mediile portabile de stocare, de exemplu prin păstrarea copiilor de rezervă curente ale acestora, într-o altă locaţie protejată. Această situaţie se aplică în mod egal sistemului de operare, programelor de aplicaţii şi datelor.

d) Evaluarea securităţii programelor şi a datelor Atunci când calculatoarele sunt accesibile mai multor utilizatori, există riscul ca sistemul de operare, programele şi datele să poată fi modificate fără autorizare, sau ca utilizatorii să îşi instaleze propriile versiuni ale programelor, dând naştere unor potenţiale probleme legate de licenţele software.

Gradul de control şi restricţiile de securitate prezente în sistemul de operare al unui calculator pot să varieze. Deşi unele sisteme de operare evoluate conţin proceduri complexe de securitate încorporate, cele utilizate la calculatoarele individuale nu conţin astfel de protecţii. Cu toate acestea, există tehnici care oferă asigurarea că datele sunt procesate şi citite numai în mod autorizat şi că distrugerea accidentală a datelor este prevenită, limitând accesul la programe şi date doar personalului autorizat:

1. Folosirea parolelor este o tehnică de control eficientă care se bazează pe utilizarea profilelor şi a parolelor, care controlează accesul permis unui utilizator. De exemplu, unui utilizator i se poate atribui un profil protejat de o parolă, care să permită doar introducerea de date, iar calculatorul poate fi configurat astfel încât să solicite parola înainte de putea fi accesat.

2. Implementarea unui pachet de control al accesului poate furniza un control eficient asupra accesului şi utilizării sistemelor de operare, programelor şi fişierelor de date. De exemplu, numai unui anumit utilizator i se poate acorda accesul la fişierul cu parole sau i se poate permite să instaleze programe. Astfel de pachete pot, de asemenea, să examineze cu regularitate programele existente pe calculator pentru a detecta dacă sunt utilizate programe sau versiuni ale programelor neautorizate.

3. Utilizarea mediilor de stocare portabile pentru programele sau fişierele de date esenţiale sau sensibile poate furniza o protecţie sporită prin depozitarea acestora în locaţii protejate şi sub control independent atât cât este necesar. De exemplu, datele referitoare la salarii pot fi păstrate pe un mediu portabil şi utilizate numai atunci când este necesară procesarea acestora.

4. Folosirea de fişiere şi directoare ascunse. Salvarea programelor şi a datelor din calculatoarele care dispun de medii portabile de stocare (de exemplu, dischete, CD-uri şi stik-uri) constituie o modalitate eficientă de păstrare a acestora în condiţii de securitate. Mediile de stocare sunt apoi depozitate în custodia bibliotecarilor de fişiere sau a utilizatorilor responsabili pentru datele sau programele respective.

5. Criptografia este o tehnică folosită, în general, atunci când date sensibile sunt transmise pe linii de comunicaţie, dar poate fi folosită şi în cazul informaţiei stocate pe un calculator individual.

e) Evaluarea continuităţii sistemului Într-un mediu cu calculatoare neinstalate în reţea, conducerea se bazează, în mod obişnuit, pe utilizator pentru a asigura disponibilitatea continuă a sistemelor în caz de

Pag. 122 din 180

nefuncţionare, pierdere sau distrugere a echipamentului, sistemului de operare, programelor sau datelor. Acest lucru presupune:

(a) Păstrarea de către utilizator a copiilor sistemelor de operare, programelor şi datelor, depozitând cel puţin o copie într-un loc sigur, departe de calculator; şi

(b) Un acces disponibil la un echipament alternativ într-un interval de timp rezonabil, având în vedere utilizarea şi importanţa sistemului de bază.

4.1.2 Efectul utilizării calculatoarelor individuale asupra sistemului financiar contabil

Efectul utilizării calculatoarelor individuale asupra sistemului financiar contabil, precum şi riscurile asociate vor depinde în general de următoarele aspecte:

(a) Măsura în care calculatorul este folosit pentru a procesa aplicaţiile financiar contabile;

(b) Tipul şi importanţa tranzacţiilor financiare care sunt procesate; şi (c) Natura programelor şi a datelor utilizate în aplicaţii.

Particularităţile controalelor generale şi ale controalelor aplicaţiilor aferente mediului informatizat decurg, în acest context, din următoarele considerente:

a) Controale generale IT

Cel mai important aspect îl reprezintă separarea sarcinilor, care într-un mediu de calculatoare individuale este greu de realizat având în vedere amploarea redusă a sistemului şi numărul redus de personal implicat în activităţi IT (instalare, administrare, operare, întreţinere etc.), în cele mai multe cazuri, aceeaşi persoană îndeplinind toate aceste sarcini. De asemenea, utilizatorii pot derula în sistemul financiar contabil, în general, două sau mai multe dintre următoarele funcţii:

(a) Iniţierea de documente sursă; (b) Autorizarea de documente sursă; (c) Introducerea de date în sistem; (d) Procesarea datelor introduse; (e) Schimbarea programelor şi a fişierelor de date; (f) Folosirea sau distribuirea rezultatelor; (g) Modificarea sistemelor de operare.

Mai mult decât atât, în foarte multe cazuri, aceste activităţi sunt îndeplinite de persoane din afara entităţii. Din din aceste motive, multe erori pot să tracă neobservate şi se poate permite comiterea şi ascunderea fraudelor.

b) Controale ale aplicaţiilor

Existenţa şi folosirea controalelor de acces adecvate asupra programelor şi fişierelor de date, combinate cu controlul asupra intrărilor, procesării şi ieşirilor de date poate, în conformitate cu politicile conducerii, să compenseze unele dintre carenţele controalelor generale în mediile de calculatoare. Implementarea unor controalele eficiente la acest nivel (proceduri manuale sau automate, reguli, norme, instrucţiuni) contribuie la creşterea eficacităţii sistemului de control al mediului informatizat şi se poate realiza prin următoarele tehnici:

proceduri de control programate;

Pag. 123 din 180

utilizarea şi monitorizarea unui sistem de jurnale ale tranzacţiilor, incluzând urmărirea şi soluţionarea oricăror excepţii;

supravegherea directă, de exemplu, o analiză a rapoartelor; reconcilierea numărătorilor înregistrărilor sau utilizarea totalurilor de control.

În acest context, controlul se poate implementa prin desemnarea unei persoane căreia i se va aloca o funcţie independentă cu următoarele atribuţii:

(a) Va primi toate datele pentru procesare; (b) Va asigura că toate datele sunt autorizate şi înregistrate; (c) Va urmări toate erorile detectate în timpul procesării; (d) Va verifica distribuirea corespunzătoare a rezultatelor obţinute; (e) Va limita accesul fizic la programele de aplicaţii şi la fişierele de date.

4.1.3 Efectul unui mediu cu calculatoare individuale asupra procedurilor de audit

Într-un mediu informatizat cu calculatoare individuale poate să nu fie practicabil sau rentabil pentru conducere să implementeze controale suficiente pentru a reduce riscurile erorilor nedetectate la un nivel minim. În astfel de situaţii, după obţinerea înţelegerii sistemului contabil şi a mediului de control8, auditorul, pe baza raţionamentului profesional, poate considera că este mai rentabil să nu efectueze o analiză suplimentară a controalelor generale sau a controalelor aplicaţiilor, şi poate adopta una dintre următoarele abordări:

- Efectuarea auditului situaţiilor financiare în manieră tradiţională (manuală), în cazul în care consideră ca informaţiile furnizate de sistemul informatic nu sunt de încredere;

- Utilizarea unei abordări mixte (metode manuale combinate cu proceduri automate), caz în care îşi va concentra eforturile asupra procedurilor de fond. Aceasta poate determina o examinare fizică şi o confirmare suplimentară a activelor, mai multe teste ale tranzacţiilor, mărimi mai mari ale eşantioanelor şi folosirea într-o măsură mai mare a tehnicilor de audit asistat de calculator.

Dacă nivelul controalelor generale pare a fi adecvat, auditorul poate decide adoptarea unei abordări diferite, stabilind proceduri care reduc riscul de control.

Calculatoarele neinstalate în reţea se întâlnesc în mod frecvent în entităţile mici. Pe baza unei analize preliminare a controalelor, planul de audit ar putea include testări ale controalelor pe care auditorul intenţionează să se bazeze.

4.2 Efectul implementării şi utilizării sistemelor de gestiune a bazelor de date (SGBD) asupra sistemului financiar contabil

Gestionarea resurselor de date creează un control organizaţional esenţial pentru asigurarea integrităţii şi compatibilităţii datelor. Într-un mediu cu baze de date metodele de control informaţional şi utilizare se schimbă de la o abordare orientată pe aplicaţii către o abordare organizaţională extinsă. În contrast cu sistemele tradiţionale în care fiecare aplicaţie este un sistem separat cu propria raportare şi propriile controale, într-un

8 cerută de ISA 400 „Evaluarea riscurilor şi controlul intern”

Pag. 124 din 180

mediu de bază de date, multe controale pot fi centralizate iar baza de date este proiectată pentru a servi necesităţilor informaţionale integrale ale organizaţiei.

Utilizarea aceloraşi date de către diferite programe de aplicaţii subliniază importanţa coordonării centralizate a utilizării şi definirii datelor precum şi a menţinerii integrităţii, securităţii, exhaustivităţii şi exactităţii acestora. Gestionarea resurselor de date este necesară pentru a promova integritatea datelor şi include o funcţie de administrare a bazei de date care se ocupă în principal cu implementarea tehnică a bazei de date, cu operaţiunile zilnice precum şi cu politicile şi procedurile care guvernează accesarea acesteia şi utilizarea zilnică. În general, administrarea bazei de date este responsabilă cu definirea, structurarea, securitatea, controlul operaţional şi eficientizarea bazelor de date, inclusiv definirea regulilor de accesare şi stocare a datelor.

4.2.1 Particularităţile controlului intern aferent mediului cu baze de date

Pentru menţinerea integrităţii, exhaustivităţii şi securităţii datelor este necesară proiectarea, implementarea şi impunerea reglementărilor privind integritatea, exhaustivitatea şi a accesul la informaţii. Aceste responsabilităţi includ: - Stabilirea persoanei responsabile cu monitorizarea datelor şi a modului în care se

va desfăşura această monitorizare; - Stabilirea celor care au acces la date şi a modului în care este realizat accesul (de

exemplu, cu ajutorul parolelor şi a tabelelor de autorizare); - Prevenirea includerii de date incomplete sau eronate; - Detectarea absenţei datelor; - Securizarea bazei de date faţă de accesul neautorizat sau distrugeri; - Monitorizarea şi urmărirea incidentelor de securitate precum şi realizarea regulată

de back-up-uri; - Asigurarea unei recuperări totale în caz de pierderi de date.

Particularităţile controlului intern aferent mediului informatizat decurg din următoarele considerente:

1. Deoarece infrastructura de securitate a unei entităţi joacă un rol important în asigurarea integrităţii informaţiilor produse, auditorii iau în considerare acest factor, înaintea examinării controalelor generale şi ale aplicaţiilor. În general, controlul intern într-un mediu cu bază de date solicită controale eficiente ale bazei de date, ale SGBD-ului şi ale aplicaţiilor. Eficacitatea controalelor interne depinde în mare măsură de natură administrarea bazei de date.

2. Într-un sistem de baze de date, controalele generale privind baza de date, SGBD şi administrarea bazei de date au un efect esenţial asupra aplicaţiilor. Aceste controale pot fi clasificate după cum urmează:

(a) Utilizarea unei metode standard pentru dezvoltarea şi menţinerea programelor de aplicaţii;

(b) Proiectarea unui model al datelor şi stabilirea proprietarilor datelor; (c) Stabilirea accesului la baza de date; (d) Separarea sarcinilor; (e) Gestionarea datelor; (f) Implementarea procedurilor privind securitatea datelor şi recuperarea

datelor.

Pag. 125 din 180

a) Metoda standard pentru dezvoltarea şi menţinerea programelor de aplicaţii

Utilizarea unei metode standard pentru a dezvolta fiecare nou program de aplicaţii şi pentru a modifica programele de aplicaţii existente, poate creşte eficienţa controlului. Aceasta va include o metodă formalizată, pas cu pas, pe care fiecare persoană în parte trebuie să o urmeze atunci când dezvoltă sau modifică un program de aplicaţii. De asemenea include analiza efectelor tranzacţiilor noi sau existente asupra bazei de date de fiecare dată când este necesară o modificare, analiză din care vor rezulta efectele modificării asupra securităţii sau integrităţii bazei de date.

Implementarea unei metode standard pentru a dezvolta sau modifica programele de aplicaţii este o tehnică care ajută la îmbunătăţirea acurateţii, exhaustivităţii şi integrităţii bazei de date. Cele mai relevante controale, specifice pentru atingerea acestui scop, sunt:

Definirea standardelor de conformitate pentru monitorizare; Stabilirea şi implementarea procedurilor de back-up al datelor şi de

recuperare pentru a asigura disponibilitatea bazei de date; Stabilirea diferitelor niveluri de control ale accesului pentru date, tabele şi

fişiere pentru a se preveni accesul neadecvat şi neautorizat; Stabilirea controalelor pentru a asigura acurateţea, încrederea şi

exhaustivitatea datelor. În multe cazuri, proiectarea sistemului poate să nu furnizeze întotdeauna utilizatorilor controale care să dovedească exhaustivitatea şi acurateţea datelor şi astfel poate apărea un risc crescut ca SGBD să nu identifice întotdeauna coruperea datelor;

Implementarea procedurilor privind reproiectarea bazei de date, ca urmare a modificărilor logice, fizice şi procedurale.

b) Modelul datelor şi proprietatea datelor

Într-un mediu cu bază de date, unde mai multe persoane pot utiliza programe pentru a introduce şi modifica date, administratorul bazei de date trebuie să se asigure că există o repartizare clară şi definită a responsabilităţii pentru asigurarea acurateţei şi integrităţii datelor pentru fiecare categorie de informaţii. Responsabilitatea pentru definirea accesului şi a regulilor de securitate, cum ar fi de exemplu, drepturile de utilizare a datelor (accesul) şi funcţiile pe care le poate executa (securitatea) trebuie alocată unei singure persoane. Desemnarea unor responsabilităţi specifice pentru deţinerea datelor ajută la asigurarea integrităţii bazei de date. Dacă diferite persoane pot lua decizii care afectează acurateţea şi integritatea datelor respective, probabilitatea ca datele să fie alterate sau utilizate impropriu, creşte. Controalele asupra profilului utilizatorilor sunt de asemenea importante atunci când se utilizează un sistem cu bază de date, nu doar pentru a stabili accesul autorizat dar şi pentru a detecta violările şi tentativele de violare a protocoalelor de securitate.

c) Accesarea bazei de date

Accesul utilizatorilor la baza de date poate fi restricţionat prin controalele de acces. Aceste restricţii se aplică persoanelor, terminalelor şi programelor. Pentru ca parola să fie eficientă, sunt necesare anumite proceduri adecvate pentru modificarea parolelor, menţinerea secretului parolelor şi revizuirea sau investigarea încercărilor de violare a protocoalelor de securitate. Conexarea parolelor cu anumite staţii de lucru, programe sau date este necesară pentru a asigura accesul, modificarea sau ştergerea datelor doar de către persoane autorizate. Utilizarea tabelelor de autorizare generate pentru securizarea

Pag. 126 din 180

bazei de date poate asigura un control în plus asupra accesării diferitelor informaţii de către utilizator. Implementarea improprie a procedurilor de acces poate avea ca rezultat accesul neautorizat la baza de date.

d) Separarea sarcinilor

Responsabilităţile pentru efectuarea diferitelor activităţi necesare pentru a proiecta, implementa şi opera o bază de date sunt divizate între personalul tehnic, proiectant, administrativ şi utilizator. Îndatoririle acestora includ proiectarea sistemului, proiectarea bazei de date, administrarea şi operarea. Menţinerea unei separări adecvate a acestor îndatoriri este absolut necesară pentru asigurarea integrităţii, exhaustivităţii şi acurateţei bazei de date. De exemplu, persoanele responsabile cu modificarea programelor de baze de date care conţin informaţii despre personal, nu vor fi aceleaşi persoane care sunt autorizate să efectueze modificări individuale ale plăţilor salariale în baza de date.

e) Securitatea datelor şi recuperarea bazei de date

Există o probabilitate crescută ca bazele de date să fie utilizate de diferiţi utilizatori în diferite zone ale operaţiunilor entităţii, ceea ce însemnă că aceste zone din cadrul entităţii vor fi afectate în cazul în care datele nu sunt accesibile sau conţin erori. De aici decurge nivelul înalt de importanţă al controalelor generale privind securitatea datelor şi recuperarea bazelor de date.

4.2.2 Efectul utilizării bazelor de date asupra sistemului financiar contabil

Efectul utilizării bazelor de date asupra sistemului financiar contabil, precum şi riscurile asociate vor depinde în general de următoarele aspecte:

Măsura în care este utilizată baza de date de aplicaţiile contabile; Tipul şi importanţa tranzacţiilor financiare care sunt procesate; Natura şi structura bazei de date, SGBD; Administrarea bazei de date şi a aplicaţiilor; Controalele generale referitoare la baza de date şi ale aplicaţiilor.

Sistemele cu baze de date oferă în mod obişnuit o mai mare credibilitate a datelor faţă de aplicaţiile bazate pe fişiere de date. În astfel de sisteme, controalele generale au o importanţă mai mare decât controalele aplicaţiilor, ceea ce implică reducerea riscului de fraudare sau eroare în sistemele contabile în care sunt utilizate bazele de date. Următorii factorii, în combinaţie cu controalele adecvate, contribuie la o credibilitate sporită a datelor.

Este asigurată o coerenţă crescută a datelor deoarece acestea sunt înregistrate şi actualizate o singură dată, şi nu stocate în mai multe fişiere şi actualizate de mai multe ori de către diferite programe.

Integritatea datelor va fi îmbunătăţită de utilizarea eficientă a facilităţilor incluse în SGBD (rutine de recuperare / restartare, editare generalizată, rutine de validare, caracteristici de control şi securitate.

Alte funcţii disponibile în cadrul SGBD pot facilita procedurile de control şi audit (generatoare de rapoarte, care pot fi utilizate pentru a crea rapoarte

Pag. 127 din 180

bilanţiere, şi limbaje de investigare care pot fi utilizate pentru a identifica inconsecvenţele din date).

Riscul denaturării poate creşte în cazul în care sistemele baze de date sunt utilizate fără un control adecvat. Într-un mediu cu fişiere de date, controalele efectuate de către utilizatori individuali pot compensa slăbiciunile controlului general. Într-un sistem cu baze de date, utilizatorii individuali nu pot compensa întotdeauna controalele neadecvate ale administrării bazei de date. De exemplu, personalul responsabil cu creanţele nu poate exercita un control eficace al datelor din conturile de creanţe dacă restul personalului nu are restricţie privind modificarea soldurile conturilor de creanţe din baza de date.

4.2.3 Efectul utilizării bazelor de date asupra procedurilor de audit

Procedurile de audit într-un mediu cu baze de date vor fi afectate în principal de măsura în care sistemul contabil utilizează informaţii din bazele de date. În cazul în care aplicaţiile financiar contabile utilizează o bază de date comună, auditorul poate considera că este eficient din punctul de vedere al costului să utilizeze unele dintre procedurile prezentate în continuare.

a) Când planifică un audit financiar, pentru a înţelege mediul de control al bazei de date şi fluxul de tranzacţii, auditorul este posibil să ia în considerare efectul următorilor factori, asupra riscului de audit.

Controalele de acces relevante. Este posibil ca baza de date să fie utilizată de persoane din afara sistemului contabil tradiţional şi astfel auditorul va trebui să ia în considerare controlul accesului asupra datelor contabile şi al tuturor celor care ar fi putut avea acces la acestea.

SGBD şi aplicaţiile contabile importante care utilizează baza de date. Este posibil ca alte aplicaţii din cadrul entităţii să genereze sau să altereze date utilizate de aplicaţiile contabile. Auditorul va evalua modul în care SGBD controlează aceste date.

Standardele şi procedurile pentru dezvoltarea şi menţinerea programelor de aplicaţii care utilizează baza de date. Bazele de date, mai ales cele care se găsesc pe calculatoare individuale, pot fi adesea proiectate şi implementate de persoane din afara departamentului IT sau a celui contabil. Auditorul va evalua modul în care entitatea controlează dezvoltarea acestor baze de date.

Funcţia de gestionare a datelor. Această funcţie joacă un rol important în menţinerea integrităţii informaţiilor stocate în baza de date.

Fişele posturilor, standardele şi procedurile pentru persoanele responsabile cu suportul tehnic, proiectarea, administrarea şi operarea bazei de date. Este posibil ca în cazul sistemelor cu baze de date, un număr sporit de persoane să aibă responsabilităţi majore legate de informaţii şi date, spre deosebire de sistemele cu fişiere tradiţionale.

Procedurile utilizate pentru a asigura integritatea, securitatea şi exhaustivitatea informaţiilor financiare conţinute în baza de date.

Disponibilitatea facilităţilor de audit din cadrul SGBD utilizat. Procedurile utilizate pentru introducerea noilor versiuni de baze de date în cadrul

sistemului.

b) La determinarea gradului de încredere acordat controalelor interne privitoare la utilizarea bazelor de date în sistemul contabil, auditorul va lua în considerare modul în

Pag. 128 din 180

care acestea sunt utilizate. Dacă ulterior auditorul decide să se bazeze pe aceste controale, el va proiecta şi efectua teste corespunzătoare.

c) Atunci când auditorul decide efectuarea unor teste ale controalelor sau teste detaliate de audit privitoare la sistemul cu bază de date, în cele mai multe cazuri va fi mai eficientă realizarea acestora cu ajutorul tehnicilor de audit asistat de calculator. Faptul că datele sunt stocate integral într-un singur loc şi organizate într-o manieră structurată face ca extragerea probelor să fie mai simplă. De asemenea, este posibil ca bazele de date să conţină date generate în afara funcţiei contabile, ceea ce va face ca efectuarea aplicaţiei procedurilor analitice să fie mult mai eficientă.

d) Procedurile de audit pot include utilizarea funcţiilor SGBD pentru rezolvarea următoarelor probeme, după ce, în prealabil, s-a verificat dacă acestea funcţionează corect:

- Testarea controalelor de acces; - Generarea datelor de testare; - Furnizarea unui proces de audit; - Verificarea integrităţii bazei de date; - Furnizarea accesului la informaţiile din baza de date sau a unei copii a părţilor relevante din baza de date, pentru a face posibilă utilizarea de produselor software de audit; - Obţinerea informaţiilor necesare auditului.

e) În cazul în care controalele privind administrarea bazei de date sunt neadecvate, este posibil ca auditorul să nu poată compensa aceste controale slabe indiferent de cât de multă muncă va depune. Prin urmare, atunci când devine clar că nu se poate baza pe controalele din sistem, auditorul va lua în considerare necesitatea de a efectua teste detaliate de audit asupra tuturor aplicaţiilor contabile importante care utilizează baza de date şi va decide dacă aceste proceduri sunt suficiente pentru atingerea obiectivelor auditului. În cazul în care auditorul nu poate compensa slăbiciunile din mediul de control prin teste detaliate pentru a reduce riscul de audit la un nivel cât mai redus, acceptabil, standardul ISA 700 solicita ca auditorul să emită o opinie cu rezerve, sau să se declare în imposibilitatea de a exprima o opinie.

f) Caracteristicile sistemelor cu baze de date pot face mai eficientă pentru auditor efectuarea unor revizuiri pre-implementare a noilor aplicaţii contabile decât revizuirea aplicaţiilor după ce acestea au fost instalate. Aceste revizii pre-implementare şi revizii ale procesului de modificare a gestionării pot furniza auditorului oportunitatea de a solicita noi funcţii, cum ar fi rutine încorporate sau controale adiţionale în proiectarea aplicaţiei. De asemenea, poate oferi suficient timp auditorului pentru a dezvolta şi testa proceduri de audit înaintea utilizării sistemului.

În cazul mediilor informatizate cu calculatoare individuale, controalele se pot implementa prin desemnarea unei persoane căreia i se va aloca o funcţie independentă cu atribuţii legate de definirea accesului şi a regulilor de securitate, sau, în cazul în care nu există personal suficient, aceste sarcini vor fi atribuite persoanei desemnate cu gestionarea sistemului informatic.

Pag. 129 din 180

4.3 Utilizarea tehnicilor de audit asistat de calculator în mediile IT ale entităţilor mici

Tehnicile de audit asistat de calculator pot fi utilizate în executarea unor proceduri, cum ar fi:

Testarea detaliilor tranzacţiilor şi balanţelor; Procedure de revizuire analitică; Teste de conformitate a controalelor IT generale; Teste de conformitate a controalelor de aplicaţie; Teste de penetrare.

Luarea deciziei de a utiliza tehnici de audit asistat de calculator se bazează pe o serie de factori care sunt luaţi în considerare:

Cunoştinţele, expertiza şi experienţa auditorului IT; Disponibilitatea unor programe de audit asistat de calculator şi a facilităţilor IT

necesare; Eficienţa şi eficacitatea utilizării tehnicilor de audit asistat de calculator faţă de

tehnicile manuale; Restricţiile de timp; Integritatea sistemului informatic şi a mediului IT; Nivelul riscului de audit.

Paşii principali care trebuie întreprinşi de către auditor în cazul utilizării tehnicilor de audit asistat de calculator sunt:

(a) Stabilirea obiectivului aplicaţiei de audit asistat de calculator; (b) Determinarea conţinutului şi a accesibilităţii la fişierele entităţii; (c) Identificarea fişierelor sau bazelor de date specifice care urmează a fi

examinate: (d) Înţelegerea relaţiilor dintre tabelele de date, acolo unde urmează să fie

examinată o bază de date; (e) Definirea testelor sau a procedurilor specifice, precum şi a tranzacţiilor şi

soldurilor aferente afectate; (f) Definirea cerinţelor cu privire la ieşirile de date; (g) Stabilirea împreună cu utilizatorul şi cu personalul IT, dacă este cazul, a

modalităţii de efectuare şi a formatului unor copii ale fişierelor şi bazelor de date relevante la o dată şi un moment adecvate (corelate cu separarea exerciţiilor);

(h) Identificarea personalului care poate participa la proiectarea şi aplicarea procedurilor de audit asistat de calculator;

(i) Perfecţionarea estimărilor costurilor şi beneficiilor; (j) Asigurarea că utilizarea programelor de audit asistat de calculator este

controlată şi documentată corespunzător; (k) Organizarea activităţilor administrative, inclusiv cu privire la aptitudinile

necesare şi facilităţile informatizate; (l) Reconcilierea datelor care vor fi utilizate pentru programul de audit asistat de

calculator cu înregistrările contabile; (m) Executarea aplicaţiei de audit asistat de calculator; (n) Evaluarea rezultatelor.

Pag. 130 din 180

În cazul mediilor IT existente în entităţile mici, nivelul controalelor generale poate fi scăzut, astfel încât auditorul se va baza mai puţin pe sistemul de control intern. Această situaţie va avea ca rezultat un accent mai mare pus pe teste ale detaliilor tranzacţiilor şi soldurilor şi pe procedurile analitice de revizuire, care pot creşte eficacitatea tehnicilor de audit asistat de calculator.

În cazul în care sunt procesate volume mici de date, metodele manuale pot fi mai rentabile.

În multe cazuri, s-ar putea ca auditorul să nu aibă la dispoziţie asistenţa tehnică adecvată din partea entităţii, în cazul unei entităţi mai mici, acest lucru făcând imposibilă folosirea tehnicilor de audit asistat de calculator.

Anumite pachete de programe de audit ar putea să nu funcţioneze pe calculatoare mici, limitându-se astfel alegerea tehnicilor de audit asistat de calculator de către auditor. În astfel de situaţii, dacă este posibil, fişierele de date ale entităţii pot fi copiate şi procesate pe un alt calculator corespunzător.

Pag. 131 din 180

Capitolul 5. Documente de lucru

Pentru obţinerea probelor de audit se vor utiliza liste de verificare, machete şi, după caz, chestionare şi se vor realiza interviuri cu: persoane din conducerea instituţiei auditate, personalul de specialitate IT, utilizatori ai sistemelor / aplicaţiilor.

Machetele constituie suportul pentru colectarea informaţiilor cantitative referitoare la infrastructura IT. Acestea sunt transmise entităţii auditate, spre completare.

În condiţiile în care se colectează informaţii care reflectă performanţa sistemului, se utilizează chestionare proiectate de auditor, pe baza cărora, în urma centralizării şi prelucrărilor statistice vor rezulta informaţii legate de satisfacţia utilizatorilor, modernizarea activităţii, continuitatea serviciilor, creşterea calităţii activităţii ca urmare a informatizării şi altele.

Machetele şi chestionarele completate vor fi semnate de conducerea entităţii şi predate echipei de audit. Machetele propuse pentru colectarea datelor referitoare la infrastructura IT şi la personalul IT sunt următoarele:

Macheta 1 - Bugetul privind investiţiile IT;

Macheta 2 - Sisteme / aplicaţii utilizate;

Macheta 3 - Evaluarea infrastructurilor hardware, software şi de comunicaţie;

Macheta 4 - Informaţii privind personalul implicat în proiectele IT.

Acestea pot fi modificate de auditor în funcţie de contextul specific. Listele de verificare constituie un suport valoros pentru realizarea interviurilor. Aceste documente de lucru, respectiv listele de verificare, nu se pun la dispoziţia entităţii auditate. Unul dintre motive este legat de creşterea veridicităţii probelor de audit având în vedere caracterul spontan al interviului, care nu permite celui intervievat să dea explicaţii prin corelarea prealabilă a întrebărilor din lista de verificare. În acest caz, probele de audit vor avea un grad de încredere mai ridicat. Un alt motiv îl constituie faptul că, prin interviu se vor detalia aspecte pe care, de obicei, cel care ar completa lista, le-ar formula într-un stil laconic. Pe parcursul interviului, auditorul consemnează răspunsurile celui intervievat, precum şi comentarii personale şi alte constatări.

Completarea listelor de verificare de către entitatea auditată reduce încrederea în probele de audit obţinute în această manieră. Un model pentru o listă de verificare a controalelor generale IT este prezentat în Anexa 3, Lista de verificare pentru evaluarea controalelor generale IT (LV_Controale generale), care conţine următoarele secţiuni:

1. managementul funcţiei IT; 2. securitatea fizică şi controalele de mediu; 3. securitatea informaţiei şi a sistemelor; 4. continuitatea sistemelor;

Pag. 132 din 180

5. managementul schimbării şi dezvoltarea de sistem; 6. auditul intern.

Această listă nu exclude adăugarea altor categorii de probleme considerate semnificative de către auditor, în funcţie de obiectivele specifice ale auditului. Pentru evaluarea riscurilor, un model de listă de verificare este prezentat în Anexa 4, Lista de verificare pentru evaluarea riscurilor (LV_Riscuri). Această listă nu exclude adăugarea altor categorii de probleme considerate semnificative de către auditor, în funcţie de obiectivele specifice ale auditului. Un model pentru o listă de verificare a controalelor de aplicaţie este prezentat în Anexa 5, Lista de verificare pentru evaluarea controalelor de aplicaţie (LV_Controale Aplicaţie) care include următoarele categorii de controale de aplicaţie:

controale privind integritatea fişierelor; controale privind securitatea aplicaţiei; controale ale datelor de intrare; controale de prelucrare; controale ale ieşirilor; controale privind reţeaua şi comunicaţia; controale ale fişierelor cu date permanente.

Această listă nu exclude adăugarea altor categorii de probleme considerate semnificative de către auditor, în funcţie de obiectivele specifice ale auditului sau în condiţiile în care sunt necesare teste de audit suplimantare.

Aceste liste de verificare sunt aplicabile pentru auditul în medii informatizate, în cadrul misiunilor de audit financiar sau de audit al performanţei, pentru evaluarea controalelor generale IT şi a riscurilor generate de funcţionarea sistemului informatic. În cazul misiunilor de audit financiar, care presupun evaluarea sistemului informatic financiar-contabil, pentru a formula o opinie privind încrederea în informaţiile furnizate de sistemul informatic auditorul public extern va utiliza lista de verificare pentru testarea controalelor IT specifice aplicaţiei financiar-contabile.

În cazul în care sistemul nu pare a fi suficient de robust, auditorul trebuie să evalueze riscul funcţionării necorespunzătoare a sistemului asupra obiectivelor misiunii de audit financiar.

În cadrul entităţilor auditate, sistemele informatice care fac obiectul evaluării sunt utilizate ca suport pentru asistarea deciziei, constituind sisteme IT/IS utilizate pentru evidenţa, prelucrarea şi obţinerea de rezultate, situaţii operative şi sintetice la toate nivelele de raportare. Din acest motiv, o categorie specială de controale IT se referă la conformitatea sistemului informatic cu cerinţele impuse de cadrul legislativ şi de reglementare.

Cerinţele legislative şi de reglementare decurg din următoarele categorii de legi: Legislaţia din domeniul finanţelor şi contabilităţii;

Legislaţia privind protecţia datelor private şi legislaţia privind protecţia datelor personale;

Legislaţia privind utilizarea improprie a calculatoarelor, în sensul criminalităţii informatice;

Pag. 133 din 180

Reglementări financiare şi bancare;

Legislaţia cu privire la proprietatea intelectuală.

În cazul sistemelor complexe sau desfăşurate la scară naţională (de exemplu, Sistemul Electronic Naţional) se folosesc liste de verificare specializate:

- Lista de verificare pentru evaluarea guvernării IT, personalizată pentru sistemele de tip e-guvernare;

- Lista de verificare pentru evaluarea portalului web;

- Lista de evaluare a perimetrului de securitate;

- Liste de verificare pentru evaluarea serviciilor electronice;

- Liste de verificare pentru evaluarea cadrului de interoperabilitate,

precum şi alte liste de verificare a căror necesitate decurge din obiectivele auditului.

Auditul performanţei implementării şi utilizării sistemelor informatice va lua în considerare următoarele aspecte:

Modul în care funcţionarea sistemului contribuie la modernizarea activităţii entităţii;

Modul în care managementul adecvat al configuraţiilor IT contribuie la creşterea valorii adăugate prin utilizarea sistemului informatic, reflectat în economii privind costurile de achiziţie şi creşterea calităţii serviciilor;

Creşterea semnificativă a productivităţii unor activităţi de rutină foarte mari consumatoare de timp şi resurse, care, transpuse în proceduri electronice (tehnoredactare, redactarea automată a documentelor, căutări în arhive electronice, reutilizarea unor informaţii, accesarea pachetelor software legislative), se materializează în reduceri de costuri cu aceste activităţi;

Scurtarea timpului de prelucrare prin reducerea numărului de erori şi evitarea reluării unor proceduri pentru remedierea acestora;

Eliminarea paralelismelor şi integrarea proceselor care se reflectă în eficientizarea activităţii prin eliminarea redundanţelor;

Scăderea costurilor serviciilor, creşterea disponibilităţii acestora şi scăderea timpului de răspuns;

Creşterea gradului de instruire a personalului în utilizarea noilor tehnologii şi dezvoltarea de noi aptitudini;

Reducerea costurilor administrative.

Pentru evaluarea gradului în care implementarea şi utilizarea sisemului informatic a produs efecte în planul modernizării activităţii, în creşterea calităţii serviciilor publice şi în ceea ce priveşte satisfacţia utilizatorilor se pot proiecta şi utiliza chestionare prin intermediul cărora se vor colecta informaţii care să reflecte reacţiile actorilor implicaţi (management, funcţionari publici, utilizatori, personal IT, cetăţeni).

Pag. 134 din 180

Referinţe bibliografice

[1] Regulamentului privind organizarea şi desfăşurarea activităţilor specifice Curţii de Conturi, precum şi valorificarea actelor rezultate din aceste activităţi.

[2] Manual de audit al sistemelor informatice, Curtea de Conturi a României, Bucureşti, 2012

[3] OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinzând standardele de management/control intern la entitatile publice şi pentru dezvoltarea sistemelor de control managerial

[4] ISACA, IS Standards, Guidelines and Procedures for Auditing and Control Professionals, ediţia februarie 2010, www.isaca.org [5] ITGI, COBIT Control Objectives, Ediţia 4.0, www.isaca.org [6] ITGI, IT Assurance Guide using COBIT, www.isaca.org [7] ITGI, IT Assurance Guide: Using COBIT [8] ITGI, Val IT Framework 2.0, www.isaca.org [9] Best practice – Why IT Projects Fail, www.nao.gov.uk/intosai/edp [10] INTOSAI, INTOSAI GOV 9100 Guidelines for Internal Control Standards for the Public Sector, 2004 [11] ISA, Declaraţia internaţională privind practica de audit 1008 - Evaluarea riscurilor şi controlul intern – caracteristici şi considerente privind CIS [12 ISA, Declaraţia internaţională privind practica de audit 1009 - Tehnici de audit asistat de calculator

http://www.isaca.org/




http://www.nao.gov.uk/intosai/edp

Pag. 135 din 180

Glosar de termeni Acceptarea riscului - Decizie luată de management de acceptare a unui risc. Analiza riscului - Utilizarea sistematică a informaţiei pentru a identifica ameninţările şi pentru a estima riscul. Aria de aplicabilitate a unui audit – Domeniul acoperit de procedurile de audit care, în baza raţionamentului auditorului şi a Standardelor Internaţionale de Audit, sunt considerate ca proceduri adecvate în împrejurările date pentru atingerea obiectivului unui audit. Asigurare rezonabilă (în contextul unei misiuni de audit) - Un nivel de asigurare adecvat, ridicat dar nu absolut, reflectat în raportul auditorului ca fiind o asigurare rezonabilă cu privire la faptul că informaţiile auditate nu conţin greşeli semnificative. Audit extern – Un audit efectuat de un auditor extern. Autenticitate – Proprietate care determină că iniţiatorul unui mesaj, fişier, etc. este în mod real cel care se pretinde a fi. Audit online - Auditare prin consultarea online a bazelor de date ale entităţilor auditate, aflate la distanţă. Audit continuu - Tip de auditare în care auditorul are acces permanent la sistemul informatic al entităţii auditate, diferenţa de timp între momentul producerii evenimentelor urmărite de auditor şi obţinerea probelor de audit fiind foarte mică. Autentificare – Actul care determină că un mesaj nu a fost schimbat de la momentul emiterii din punctul de origine. Un proces care verifică identitatea pretinsă de un individ.

Autoritate de certificare – O organizaţie investită pentru a garanta autenticitatea unei chei publice (PKI). Autoritatea de certificare criptează certificatul digital. Backup – O copie (de exemplu, a unui program software, a unui disc întreg sau a unor date) efectuată fie în scopuri de arhivare, fie pentru salvarea fişierelor valoroase pentru a evita pierderea, deteriorarea sau distrugerea informaţiilor. Este o copie de siguranţă.

Browser - Prescurtare pentru Web Browser, program care permite utilizatorilor să navigheze pe Web. Cele mai populare browsere sunt Microsoft Internet Explorer, Opera, Mozilla. BSI (British Standards Institution) – Instituţia care a publicat standardele naţionale britanice care au constituit baza evoluţiei standardelor ISO 9001 (BS5750 – sisteme de management al calităţii) şi ISO 17799 (BS 7799 – managementul securităţii informaţiei).

Pag. 136 din 180

CAAT - Computer Assisted Audit Techniques (Tehnici de audit asistat de calculator) - Software care poate fi utilizat pentru interogarea, analiza şi extragerea de fişiere de date şi pentru producerea de probe de tranzacţii pentru testele de detaliu. CISA (Certified Information Systems Auditor) - Auditor de Sisteme Informatice Certificat) - calificare profesională oferită de Information Systems Audit and Control Association (ISACA) (Asociaţia de Audit şi Control al Sistemelor Informatice). Cloud Computing (configuraţie de nori) - Stil de utilizare a calculatoarelor în care capabilităţile IT se oferă ca servicii distribuite şi permit utilizatorului să acceseze servicii bazate pe noile tehnologii, prin intermediul Internetului, fără a avea cunoştinţe, expertiză sau control privind infrastructura tehnologică suport a acestor servicii. Confidenţialitate – Proprietate a informaţiei care asigură că aceasta nu este făcută disponibilă sau dezvăluită persoanelor, entităţilor sau proceselor neautorizate.

Continuitatea afacerii - Un plan formal sau un set de planuri integrate, proiectate pentru a permite proceselor cheie ale afacerii să continue operarea în urma unor căderi majore sau dezastre.

Controale generale în sistemele informaţionale computerizate - Politici şi proceduri care se referă la sistemele informatice şi care susţin funcţionarea eficientă a controalelor aplicaţiilor contribuind astfel la asigurarea unei funcţionări adecvate şi continue a sistemelor informatice. Controalele informatice generale includ, în mod obişnuit, controale asupra securităţii accesului la date şi reţele, precum şi asupra achiziţiei, întreţinerii şi dezvoltării sistemelor informatice. Controlul accesului - Proceduri proiectate să restricţioneze accesul la echipamente, programe şi datele asociate. Controlul accesului constă în autentificarea utilizatorului şi autorizarea utilizatorului. Autentificarea utilizatorului se realizează, în general, prin intermediul unui nume de utilizator unic, al unei parole, al unui card de acces, al datelor biometrice. Autorizarea utilizatorului se referă la regulile de acces pentru a determina resursele informatice la care poate avea acces fiecare utilizator. Control intern - Procesul proiectat şi efectuat de cei care sunt însărcinaţi cu guvernarea, de către conducere şi de alte categorii de personal, pentru a oferi o asigurare rezonabilă în legătură cu atingerea obiectivelor entităţii cu privire la credibilitatea raportării financiare, la eficacitatea şi eficienţa operaţiilor şi la respectarea legilor şi reglementărilor aplicabile. Controlul intern este compus din următoarele elemente: (a) Mediul de control; (b) Procesul de evaluare a riscurilor entităţii; (c) Sistemul informatic, inclusiv procesele de afaceri aferente, relevante pentru raportarea financiară şi comunicare; (d) Activităţile de control; şi (e) Monitorizarea controalelor. Controale de aplicaţie în sistemele informatice - Proceduri manuale sau automate care operează de obicei la nivelul proceselor întreprinderii. Controalele de aplicaţie pot fi de natură preventivă sau de detectare şi sunt proiectate să asigure integritatea informaţiilor. În mare parte, controalele de aplicaţie se referă la procedurile folosite pentru a iniţia, înregistra, procesa şi raporta tranzacţiile sau alte date financiare.

Pag. 137 din 180

Controlul dezvoltării programelor - Proceduri menite să prevină sau să detecteze modificările inadecvate aduse programelor informatice care sunt accesate cu ajutorul terminalelor conectate online. Accesul poate fi restricţionat prin controale cum ar fi folosirea unor programe operaţionale separate sau a unor pachete de programe specializate dezvoltate special pentru acest scop. Este important ca modificările efectuate online asupra programelor să fie documentate, controlate şi monitorizate în mod adecvat. CRAMM (The CCTA Risk Analysis and Management Method) - Metodă de management şi analiză a riscului - este o metodă structurată pentru identificarea şi justificarea măsurilor de protecţie care vizează asigurarea unui nivel adecvat de securitate în cadrul sistemelor IT. Criptare (criptografie) - Procesul de transformare a programelor şi informaţiilor într-o formă care nu poate fi înţeleasă fără accesul la algoritmi specifici de decodificare (chei criptografice). Certificat digital - Conţine semnături digitale şi alte informaţii care confirmă identitatea părţilor implicate într-o tranzacţie electronică, inclusiv cheia publică. Declaraţie de aplicabilitate - Declaraţie documentată care descrie obiectivele de control şi măsurile de securitate care sunt relevante şi aplicabile SMSI al organizaţiei. Obiectivele de control şi măsurile sunt bazate pe rezultatele şi concluziile analizei de risc şi pe procesele de tratare a riscului, cerinţe legale sau de reglementare, obligaţii contractuale şi cerinţele afacerii organizaţiei pentru securitatea informaţiei. Determinarea riscului - Pprocesul global de analiză şi evaluare a riscului Disponibilitate – Capacitatea de a accesa un sistem, o resursă sau un fişier atunci când este formulată o cerere în acest scop. Proprietatea informaţiei de a fi accesibilă şi utilizabilă la cerere de către o entitate autorizată

Documentarea misiunii de audit - Înregistrarea procedurilor de audit aplicate, a probelor de audit relevante, precum şi a concluziilor la care a ajuns auditorul (termen cunoscut uneori şi ca „documente de lucru” sau „foi de lucru”). Documentaţia unei misiuni specifice este colectată într-un dosar de audit. Documentele de lucru - Materialele întocmite de auditor şi pentru uzul auditorului, sau obţinute şi păstrate de acesta, în corelaţie cu derularea auditului. Documentele de lucru pot fi pe suport de hârtie, pe film, pe suport magnetic, electronic sau pe alte tipuri de suport pentru stocarea datelor. e-audit - Tip de audit pentru care prezenţa fizică a auditorului nu este necesară la entitatea auditată, acesta având la dispoziţie toate informaţiile oferite de o infrastructură ITC pentru audit. EDI - Electronic Data Interchange este termenul generic pentru transmisia structurată a tranzacţiilor sau informaţiilor comerciale de la un sistem la altul. e-guvernare - Schimbul online al informaţiei autorităţilor publice şi a guvernului cu, şi livrarea serviciilor către: cetăţeni, mediul de afaceri şi alte agenţii guvernamentale.

Pag. 138 din 180

Guvernarea electronică presupune furnizarea sau obţinerea de informaţii, servicii sau produse prin mijloace electronice către şi de la agenţii guvernamentale, în orice moment şi loc, oferind o valoare adăugată pentru părţile participante. e-sisteme - Sisteme bazate pe Internet şi tehnologii asociate care oferă servicii electronice cetăţenilor, mediului de afaceri şi administraţiei: e-government, e-health, e-commerce, e-learning, etc. EFT - Electronic Funds Transfer systems (sisteme electronice de transfer de fonduri) sunt utilizate pentru a transfera fonduri dintr-un cont bancar în alt cont bancar utilizând echipamente electronice în locul mediilor pe hârtie. Sistemele uzuale EFT includ BACS (Bankers’ Automated Clearing Services) şi CHAPS (Clearing House Automated Payment System). Eşantionarea în audit - Aplicarea procedurilor de audit la mai puţin de 100% din elementele din cadrul soldului unui cont sau al unei clase de tranzacţii, astfel încât toate unităţile de eşantionare să aibă o şansă de selectare. Aceasta îi va permite auditorului să obţină şi să evalueze probe de audit în legătură cu unele caracteristici ale elementelor selectate pentru a formula o concluzie sau a ajuta la formularea unei concluzii în legătură cu populaţia din care este extras eşantionul. Eşantionarea în audit poate utiliza fie o abordare statistică, fie una nonstatistică. Evaluarea riscului - Proces de comparare a riscului estimat cu criteriile de risc agreate în vederea stabilirii importanţei riscului. Eveniment de securitate a informaţiilor - situaţie identificată în legătură cu un sistem, un serviciu sau o reţea care indică o posibilă încălcare a politicii de securitate a informaţiilor, un eşec al măsurilor de protecţie sau o situaţie ignorată anterior, dar relevantă din punct de vedere al securităţii. Firewall - Combinaţie de resurse informatice, echipamente sau programe care protejează o reţea sau un calculator personal de accesul neautorizat prin intermediul Internetului, precum şi împotriva introducerii unor programe sau date sau a oricăror alte programe de calculator neautorizate sau care produc daune. Frequently Asked Questions (FAQ) - Un termen care se referă la o listă de întrebări şi răspunsuri furnizată de companii referitoare la produsele de software, web site, etc. Frauda - Act intenţionat întreprins de una sau mai multe persoane din cadrul conducerii, din partea celor însărcinaţi cu guvernarea, a angajaţilor sau a unor terţe părţi, care implică folosirea unor înşelătorii pentru a obţine un avantaj ilegal sau injust. Gateway - Interconexiunea între două reţele cu protocoale de comunicare diferite. Guvernare (guvernare corporativă) - Descrie rolul persoanelor cărora le este încredinţată supervizarea, controlul şi conducerea unei entităţi. Cei însărcinaţi cu guvernarea sunt, în mod obişnuit, răspunzători pentru asigurarea îndeplinirii obiectivelor entităţii, pentru raportarea financiară şi raportarea către părţile interesate. În cadrul celor însărcinaţi cu guvernarea se include conducerea executivă doar atunci când aceasta îndeplineşte astfel de funcţii.

Pag. 139 din 180

Guvernarea electronică - Schimbul online al informaţiei guvernului cu, şi livrarea serviciilor către: cetăţeni, mediul de afaceri şi alte agenţii guvernamentale (definiţie INTOSAI). HelpDesk - Punctul principal de contact sau interfaţa dintre serviciile sistemului informatic şi utilizatori. Help desk este punctul unde se colectează şi se rezolvă problemele utilizatorului. Home Page - Pagina prin care un utilizator intră în mod obişnuit pe un web site. Aceasta conţine şi legăturile (linkurile) cele mai importante către alte pagini ale acestui site. Hypertext - Un sistem de scriere şi de afişare a textului care permite ca textul să fie accesat în moduri multiple, să fie disponibil la mai multe nivele de detaliu şi care conţine legături la documente aflate în relaţie cu acesta. Hypertext Mark-Up Language (HTML) - Limbajul utilizat pentru generarea documentelor de tip hipertext (inclusiv pentru scrierea paginilor pentru http://www). Acest limbaj permite textului sa includă coduri care definesc font-ul, layout-ul, grafica inclusă şi link-urile de hypertext. Internet - Un ansamblu de calculatoare conectate în reţea (la scară mondială) care asigură servicii de ştiri, acces la fişiere, poşta electronică şi instrumente de căutare şi vizualizare a resurselor de pe Internet. Internet Service Provider (ISP) - Un furnizor comercial al unei conexiuni la Internet. Incident - Un eveniment operaţional care nu face parte din funcţionarea standard a sistemului. Incident privind securitatea informaţiei - un eveniment sau o serie de evenimente de securitate a informaţiei care au o probabilitate semnificativă de a compromite activităţile organizaţiei şi de a aduce ameninţări la securitatea informaţiei. Integritate - Proprietatea de a păstra acurateţea şi deplinătatea resurselor. Instituţia Supremă de Audit - Organismul public al unui stat care, indiferent de modul în care este desemnat, constituit sau organizat în acest scop, exercită în virtutea legii cea mai înaltă funcţie de audit în acel stat. Intranet - Versiunea privată a Internetului, care permite persoanelor din cadrul unei organizaţii să efectueze schimburi de date, folosind instrumentele obişnuite ale Internetului, cum sunt browserele. Log (jurnal de operaţii) - O evidenţă sau un jurnal al unei secvenţe de evenimente sau activităţi.

Pag. 140 din 180

Managementul configuraţiei - Procesul de identificare şi definire a componentelor de configuraţie într-un sistem, de înregistrare şi raportare a stării componentelor din configuraţie şi a solicitărilor de modificare şi verificare a integrităţii şi corectitudinii componentelor de configuraţie.

Managementul riscului - Activităţi coordonate pentru îndrumarea şi controlul unei organizaţii luând în considerare riscurile. Managementul schimbărilor - Procesul de control şi gestionare a solicitărilor de modificare a oricărui aspect al sistemului informatic (hardware, software, documentaţie, comunicaţii, fişiere de configurare a sistemului). Procesul de management al schimbărilor va include măsuri de control, gestionare şi implementare a modificărilor aprobate. Mediu de control - Include funcţiile de guvernare şi de conducere, precum şi atitudinile, conştientizarea şi acţiunile celor însărcinaţi cu guvernarea şi conducerea entităţii referitoare la controlul intern al entităţii şi la importanţa acestuia în entitate. Mediul de control este o componentă a controlului intern. Mediu informatizat - Politicile şi procedurile pe care entitatea le implementează şi infrastructura informatică (echipamente, sisteme de operare etc.), precum şi programele de aplicaţie utilizate pentru susţinerea operaţiunilor întreprinderii şi realizarea strategiilor de afaceri. Se consideră că un astfel de mediu există în cazul în care în procesarea de către entitate a informaţiilor financiare semnificative pentru audit este implicat un calculator, de orice tip sau dimensiune, indiferent dacă acest calculator este operat de către entitate sau de o terţă parte.

Metode biometrice - Metode automate de verificare sau de recunoaştere a unei persoane bazate pe caracteristici comportamentale sau fizice (de exemplu, amprente digitale, scrisul de mână şi geometria facială sau retina), utilizate în controlul accesului fizic.

Modem - O piesă de echipament utilizată pentru convertirea unui semnal digital dintr-un calculator, în semnal analog pentru transmiterea într-o reţea analogică (precum sistemul public de telefoane). Un alt modem aflat la capătul de primire converteşte semnalul analog în semnal digital. Networks [reţele] - Interconectarea prin facilităţi de telecomunicaţie a calculatoarelor şi a altor dispozitive. Ofiţer de securitate - Persoana responsabilă să asigure că regulile de securitate ale organizaţiei sunt implementate şi funcţionează. Pista de audit – Un set cronologic de înregistrări care furnizează în mod colectiv proba documentară a prelucrării, suficientă pentru a permite reconstituirea, revizuirea şi examinarea unei activităţi.

Planificarea continuităţii - Planificarea efectuată pentru a asigura continuitatea proceselor cheie ale afacerii după dezastre, căderi majore ale sistemelor sau în cazul imposibilităţii procesărilor de rutină.

Pag. 141 din 180

Politica de securitate - Setul de reguli şi practici care reglementează modul în care o organizaţie gestionează, protejează şi distribuie informaţiile sensibile. Probe de audit - Totalitatea informaţiilor folosite de auditor pentru a ajunge la concluziile pe care se bazează opinia de audit. Protocol - Standarde şi reguli care determina înţelesul, formatul şi tipurile de date care pot fi transferate între calculatoarele din reţea. Resurse - Orice prezintă valoare pentru organizaţie. Risc rezidual - Riscul care rămâne după tratarea riscului. Reţea de arie largă (WAN) - O reţea de comunicaţii care transmite informaţii pe o arie extinsă, cum ar fi între locaţii ale întreprinderii, oraşe sau ţări diferite. Reţelele extinse permit, de asemenea, accesul online la aplicaţii, efectuat de la terminale situate la distanţă. Mai multe reţele locale (LAN) pot fi interconectate într-o reţea WAN. Reţea locală (LAN) - O reţea de comunicaţii care deserveşte utilizatorii dintr-o arie geografică bine delimitată. Reţelele locale au fost dezvoltate pentru a facilita schimbul de informaţii şi utilizarea în comun a resurselor din cadrul unei organizaţii, inclusiv date, programe informatice, depozite de date, imprimante şi echipamente de telecomunicaţii. Componentele de bază ale unei reţele locale sunt mijloacele de transmisie şi programele informatice, staţiile de lucru pentru utilizatori şi echipamentele periferice utilizate în comun. Router - Un dispozitiv de reţea care asigură că datele care se transmit printr-o reţea urmează ruta optimă. Sectorul public – Guvernele naţionale, guvernele regionale (spre exemplu, cele la nivel de stat, provincie sau teritoriale), administraţiile locale (spre exemplu, la nivel de oraş, municipiu) şi entităţile guvernamentale aferente (spre exemplu, agenţii, consilii, comisii şi întreprinderi). Secure Socket Layer (SSL) - O tehnologie bazată pe web care permite unui calculator să verifice identitatea altui calculator şi permite conexiunile securizate. Securitatea informaţiei - Păstrarea confidenţialităţii, integrităţii şi a disponibilităţii informaţiei; în plus, alte proprietăţi precum autenticitatea, responsabilitatea, non-repudierea şi fiabilitatea pot fi de asemenea implicate. Server - O unitate de calcul plasată într-un nod al reţelei care asigură servicii specifice utilizatorilor reţelei (de exemplu, un print server asigură facilităţi de imprimare în reţea, iar un file server stochează fişierele utilizatorului). Service level agreements - Acorduri sau contracte scrise între utilizatori şi prestatorii de servicii, care documentează livrarea convenită a serviciilor IT. Acestea includ, de obicei, orele pentru prestarea serviciului, disponibilitatea serviciului, produsul, timpii de răspuns, restricţii şi funcţionalitate.

Pag. 142 din 180

Sistem de management al securităţii informaţiei (SMSI) - Partea din întreg sistemul de management, bazată pe o abordare a riscului afacerii, folosită pentru a stabili, implementa, funcţiona, monitoriza, revizui, menţine şi îmbunătăţi securitatea informaţiei. Sistemul de management include structuri organizaţionale, politici, activităţi de planificare, responsabilităţi, practici, proceduri, procese şi resurse. Sisteme informaţionale relevante pentru raportarea financiară – O componentă a controlului intern care include sistemul de raportare financiară şi constă din procedurile şi înregistrările stabilite pentru a iniţia, înregistra, procesa şi raporta tranzacţiile entităţii (precum şi evenimentele şi condiţiile) şi pentru a menţine responsabilitatea pentru activele, datoriile şi capitalurile proprii aferente. Software social - Software de tip social (social networking, social collaboration, social media and social validation) este avut în vedere de organizaţii în procesul integrării întreprinderii. t-guvernare - Utilizarea tehnologiei comunicării informaţiei pentru a asigura (a permite) transformarea modului de lucru al guvernului, într-o manieră centrată pe client. Tehnologii informatice « verzi » (ecologice) – Sunt asociate cu evoluţia blade server, prin reorientarea către produse din ce în ce mai eficiente care pot permite funcţionarea în manieră ecologică, având în vedere impactul asupra reţelei electrice şi a emisiilor de carbon. Test de parcurgere – Un test de parcurgere implică urmărirea câtorva tranzacţii pe parcursul întregului sistem de raportare. TCP/IP - Transmission Control Protocol/Internet Protocol [Protocol de control al transmisiei / Protocol Internet]: un standard utilizat pe larg pentru transferul de date între calculatoarele în reţea, inclusiv cele conectate la Internet.

Tratarea riscului - Proces de selecţie şi implementare a unor măsuri în vederea reducerii

riscului.

Trojan horse (cal troian) - Program de calculator care realizează aparent o funcţie utilă, dar realizează şi funcţii ascunse neautorizate (de exemplu, un program neautorizat care este ascuns într-un program autorizat şi exploatează privilegiile de acces ale acestuia). User profile (profilul utilizatorului) - O listă de drepturi de acces ale unui anumit utilizator al sistemului. Virus - Sunt programe de calculator rău intenţionate, autopropagabile care se ataşează programelor executabile gazdă.

Worms (viermi) - Viermii sunt programe de calculator rău intenţionate, care se pot replica fără ca programul gazdă să poarte infecţia. Reţelele sunt vulnerabile la atacurile viermilor, un vierme care intra în nodul unei reţele cauzează probleme locale în nod şi trimite copii ale sale nodurilor vecine.

Pag. 143 din 180

Anexa 2 - Lista documentelor

a) Referitor la managementul tehnologiei informaţiei

1. Structura organizaţională. Fişe de post pentru persoanele implicate în proiectele informatice

2. Strategia IT şi stadiul de implementare a acesteia

3. Politici şi proceduri incluse în sistemul de control intern

4. Legislaţie şi reglementări care guvernează domeniul

5. Documente referitoare la coordonarea şi monitorizarea proiectelor IT

6. Raportări către management privind proiectele IT

7. Buget alocat pentru proiectele informatice

8. Documente referitoare la coordonarea şi monitorizarea proiectelor informatice

9. Lista furnizorilor şi copiile contractelor pentru hardware şi software (furnizare, service, mentenanţă, etc.)

10. Rapoarte de audit privind sistemul IT din ultimii 3 ani

11. Raportarea indicatorilor de performanţă

b) Referitor la infrastructura hardware / software şi de securitate a sistemului

12. Infrastructura hardware, software şi de comunicaţie. Documentaţie de prezentare

13. Politica de securitate. Proceduri generale. Proceduri operaţionale IT (back-up, managementul capacităţii, managementul configuraţiilor, managementul schimbării proceselor, managementul schimbărilor tehnice, managementul problemelor etc.)

14. Proceduri şi norme specifice, inclusiv cele legate de administrare şi securitate, în vederea creşterii gradului necesar de confidenţialitate şi a siguranţei în utilizare, în scopul bunei desfăşurări a procedurilor electronice şi pentru asigurarea protecţiei datelor cu caracter personal

15. Arhitectura de sistem. Categorii de servicii şi tehnologii utilizate

16. Arhitectura de reţea. Tipuri de conexiuni

17. Personalul implicat în proiecte. Număr, structură, calificare

18. Manuale, documentaţie de sistem şi orice alte documentaţii referitoare la aplicaţiile informatice

c) Referitor la continuitatea sistemului

19. Plan de continuitate a activităţii care face obiectul proiectelor IT

20. Plan de recuperare în caz de dezastru

d) Referitor la dezvoltarea sistemului

21. Lista aplicaţiilor şi proiectelor IT (scurtă prezentare a portofoliului de proiecte) 22. Stadiul actual, grafice de implementare şi rapoarte de utilizare 23. Perspective de dezvoltare

Pag. 144 din 180

e) Referitor la sistemul de monitorizare şi raportare

24. Raportări ale managementului IT referitoare la proiectele informatice 25. Rapoarte de monitorizare a modului de implementare a proiectelor informatice

Pag. 145 din 180

Macheta 1

Instituţia publică ________________

Localitatea ____________________

Judeţul _______________________

BUGET PRIVIND INVESTIŢIILE IT PENTRU ANUL _______

Nr.

crt. Proiect / Sistem / Aplicaţie Specificaţie Număr

Valoare

Servere

Calculatoare PC

Echipamente de reţea

Licenţe

Aplicaţii

Personal

Întreţinere

Alte cheltuieli

Notă: Se vor adăuga linii distincte pentru fiecare proiect / sistem / aplicaţie.

TOTAL VALOARE

Aprobat / Confirmat, Intocmit,

Pag. 146 din 180

Macheta 2

Instituţia publică _____________

Localitatea __________________

Judeţul _____________________

Sisteme / aplicaţii utilizate

Cod

serviciu

informatic

Denumire

sistem /

aplicaţie

Categorie

sistem/

aplicaţie

Stadiul

Producător

/

Furnizor

Arhitectura Tehnologia SGBD /

Platforma

Mediu de

proiectare

şi

dezvoltare

1 - aplicaţie

2 - sistem

informatic

integrat

3 -

managementul

documentelor

4 - arhiva

electronică

5 - altele

1 - în curs de

implementare

2 - neoperaţional

3 - operaţional

1 - aplicaţie

independentă

2 - client-server

3 – aplicaţie

web

1-nouă

2-perimată

Cod

Serviciul

informatic

#1

Aplicaţia 1

Aplicaţia 2

….

Cod

Serviciul

informatic

#2

Aplicaţia …..


Pag. 147 din 180

Macheta 3

Instituţia publică _________

Localitatea _____________

Judeţul ________________

EVALUAREA INFRASTRUCTURILOR

HARDWARE, SOFTWARE ŞI DE COMUNICAŢIE

ECHIPAMENTE HARDWARE

Nr. crt. Tip echipament Număr

1 Servere (total)

2 Servere securizate

3 Calculatoare personale desktop (total)

4 Calculatoare personale desktop legate în reţea

5 Calculatoare portabile (laptop)

6 Imprimante

7 Scannere

8 Alte tipuri de echipamente

Pag. 148 din 180

LICENŢE SOFTWARE

Nr. crt. Denumire Număr

1 Licenţe sistem de operare Windows XP

2 Licenţe sistem de operare Windows 2000 Professional

3 Licenţe sistem de operare Vista, Windows 7 etc.

*) Se vor adăuga linii în funcţie de numărul sistemelor de operare

4 Licenţe pentru aplicaţii de birotică

CONECTARE LA INTERNET

Nr. crt Tip conexiune Număr

1 Conectate prin linie telefonică (dial-up)

2 Conectate prin linie închiriată

3 Conectate prin radio

4 Conectate prin linie de cablu TV

5 Conexiune de banda largă

6 Conectare prin telefoane mobile cu acces la Internet


Pag. 149 din 180

Macheta 4

Instituţia publică ________

Localitatea _____________

Judeţul ________________

INFORMAŢII PRIVIND PERSONALUL

IMPLICAT ÎN PROIECTELE IT

Nr.

crt.

Categorii de activităţi IT

Număr

personal

1 Personal cu

studii

superioare

care

efectuează

activităţi IT

Dezvoltare de programe

Consultanţă în domeniul hardware

Consultanţă şi furnizare de produse software

Prelucrarea informatică a datelor

Activităţi legate de baze de date

Activităţi legate de asigurarea securităţii sistemului

Întreţinerea şi repararea echipamentelor

Suport tehnic

Telecomunicaţii (transmisie de date, acces Internet, etc.)

Consultanţă şi management de proiect informatic

TOTAL (studii superioare)

Pag. 150 din 180

2 Personal cu

studii medii

Operare

TOTAL PERSONAL

1 Ponderea personalului ocupat al instituţiei care utilizează tehnica de calcul (%)

2 Ponderea personalului ocupat din instituţie care utilizează PC cu conectare Internet

(%)

3 Ponderea personalului ocupat care utilizează munca la distanţă (teleworking) (%)


Pag. 151 din 180

Anexa 3

Lista de verificare pentru evaluarea controalelor generale IT

Domeniul de evaluare Comentarii/Constatări/Recomandări

I. Managementul IT

Implicarea conducerii entităţii în coordonarea activităţii IT

a) În ce măsură este implicată

conducerea entităţii în coordonarea activităţilor IT?

b) Au loc întâlniri periodice între reprezentanţii compartimentului IT şi conducere? (modalitate, raportări, procese verbale ale întâlnirilor, minute)

Comunicarea intenţiilor şi obiectivelor conducerii

a) Conducere a dezvoltat unui cadru de referinţă al controlului IT la nivelul întregii organizaţii, a definit şi a comunicat politicile?

b) Conducerea sprijină realizarea

obiectivelor IT şi asigură conştientizarea şi înţelegerea riscurilor afacerii şi a riscurilor ce decurg din IT, a obiectivelor şi intenţiilor sale, prin intermediul comunicării?

Raportarea către conducerea entităţii

a) Există o raportare periodică a activităţilor IT către conducere?

b) Ce indicatori de performanţă IT sunt aduşi la cunoştinţa conducerii, în mod formal?

Pag. 152 din 180

Definirea proceselor IT, a funcţiei şi a relaţiilor

a) A fost definită o structură funcţională IT, luând în considerare cerinţele cu privire la personal, abilităţi, funcţii, responsabilităţi, autoritate, roluri şi supervizare?

b) Această structură funcţională este inclusă într-un cadru de referinţă al procesului IT care asigură transparenţa şi controlul, precum şi implicarea atât de la nivel executiv cât şi general?

c) Sunt implementate procese, politici administrative şi proceduri, pentru toate funcţiile, acordându-se atenţie deosebită controlului, asigurării calităţii, managementului riscului, securităţii informaţiilor, identificării responsabililor datelor şi sistemelor şi separării funcţiilor incompatibile.

d) Care este implicarea funcţiei IT în procesele decizionale relevante pentru asigurarea suportului şi susţinerii cerinţelor economice.

e) Au fost stabilite rolurile şi responsabilităţile?

f) A fost identificat personalului IT critic, au fost implementate politicile şi procedurile pentru personalul contractual?

Cadrul organizatoric şi de implementare privind separarea atribuţiilor

a) Există o structură organizatorică

formală în care sunt cunoscute de către personal: modul de subordonare şi limitele de responsabilitate proprii şi ale celorlalţi?

b) Sunt incluse cu claritate a atribuţiilor

personalului în fişa postului, în scopul

Pag. 153 din 180

reducerii riscului efectuării de către acesta a unor acţiuni dincolo de limitele autorizate?

c) Se utilizeazepararea sarcinilor

realizată prin intermediul sistemului informatic, prin utilizarea de profile de securitate individuale și de grup, preprogramate

d) Există interdicţia ca personalul care

are sarcini în departamentul IT, să aibă sarcini și în departamentul financiar-contabil sau personal?

e) Există o separare fizică şi managerială

a atribuţiilor, pentru a reduce riscul de fraudă?

f) Sunt separate funcţiil IT de cele ale

utilizatorilor pentru a reduce riscul de efectuare de către utilizatori a unor modificări neautorizate ale softului sau ale datelor financiar-contabile, având în vedere că persoanele cu sarcini atât în domeniul financiar-contabil, cât şi în domeniul IT au oportunităţi mai mari de a efectua activităţi neautorizate prin intermediul aplicaţiilor informatice, fără a fi depistaţi?

g) Există un cadru formal de separare a

sarcinilor în cadrul departamentului IT, pentru următoarele categorii de activităţi: Proiectarea şi programarea

sistemelor Întreţinerea sistemelor Operaţii IT de rutină Introducerea datelor Securitatea sistemelor Administrarea bazelor de date Managementul schimbării şi al

dezvoltării sistemului informatic? h) Este realizată separarea sarcinilor de

administrator de sistem de cele de control al securităţii sistemului?

Pag. 154 din 180

i) Este asigurată separarea adecvată a sarcinilor pentru a reduce riscurile ca personalul cu cunoștinţe semnificative despre sistem să efectueze acţiuni neautorizate şi să înlăture urmele acţiunilor lor?

j) Există o separare eficientă a sarcinilor

între dezvoltatorii de sisteme, personalul de operare a calculatoarelor și utilizatorii finali?

k) Există interdicţia ca programatorii să

aibă acces la mediul de producţie (introducere de date, fişiere permanente date de ieşire, programe, etc.) pentru a-şi îndeplini sarcinile?

l) Există interdicţia ca personalul care

face programare să aibă permisiunea de a transfera software nou între mediile de dezvoltare, testare şi producţie?

m) Există interdicţia ca personalul cu

cunoştinţe de programare să aibă atribuţii de operare care să permită efectuarea modificări neautorizate în programe?

n) Este separată responsabilitatea

privind operarea aplicaţiei de control al patrimoniului, de responsabilitatea de a menţine înregistrările contabile pentru acesta?

o) Este utilizată separarea sarcinilor ca

formă de revizie, de detectare a erorilor şi control al calităţii?

p) S-au întreprins măsuri pentru

conștientizarea personalului?

Organizarea sistemului de monitorizare a activităţilor şi serviciilor IT

a) Au fost stabilite atribuţiile privind monitorizarea consecventă a stadiului

Pag. 155 din 180

proiectelor IT (desemnarea unui responsabil cu urmărirea implementării şi utilizării IT, evaluarea periodică a performanţei utilizatorilor sistemului, instruirea periodică a personalului implicat în proiectele IT pentru a acoperi cerinţele proceselor noului model de activitate)?

b) Există fişe de post semnate pentru personalul implicat în proiectele IT?

Estimarea şi managementul riscurilor IT

a) Este creat şi întreţinut un cadru de

referinţă pentru managementul riscurilor care documentează un nivel comun şi convenit al riscurilor IT, precum şi strategiile de reducere a riscurilor şi de tratare a riscurilor reziduale?

b) Este întreţinut şi monitorizat un plan de acţiune pentru reducerea riscului?

Monitorizare şi evaluare a) Este măsurată performanţa sistemului

IT pentru a detecta la timp problemele?

b) Managementul asigură eficienţa şi eficacitatea controlului intern?

c) Se efectuează evaluarea periodică a proceselor IT, din perspectiva calităţii lor şi a conformităţii cu cerinţele controlului?

d) Serviciile IT sunt asigurate corespunzător: sunt furnizate în conformitate cu priorităţile afacerii, costurile IT sunt optimizate, personalul poate folosi sistemele IT în mod productiv şi în siguranţă iar confidenţialitatea, disponibilitatea şi integritatea sunt adecvate?

Pag. 156 din 180

Managementul investiţiilor/ managementul costurilor a) Există în entitate un cadru de referinţă

pentru managementul financiar?

b) Există un buget separat pentru investiţii şi cheltuieli legate de IT?

c) Dacă da, este acesta urmărit periodic?

d) Cine urmăreşte bugetul, cum se întocmeşte, cine îl aprobă?

e) Se face o analiza a activităţilor faţă de Strategia IT a entităţii?

f) Au fost stabilite priorităţi în cadrul bugetului IT?

g) Este asigurată finanţarea IT?

Managementul programelor şi al proiectelor

a) Pentru toate proiectele IT este stabilit

un program şi un cadru de referinţă pentru managementul proiectelor care garantează o ierarhizare corectă şi o bună coordonare a proiectelor ?

b) Include cadrul de referinţă un plan

general, alocarea resurselor, definirea livrabilelor, aprobarea utilizatorilor, livrarea conform fazelor proiectului, asigurarea calităţii, un plan formal de testare, revizia testării şi revizia post-implementării cu scopul de a asigura managementul riscurilor proiectului şi furnizarea de valoare pentru organizaţie.

c) Se realizează monitorizarea activităţilor şi progresului proiectelor în raport cu planurile elaborate în acest domeniu?

d) Este nominalizat unui colectiv şi un responsabil care supraveghează desfăşurarea activităţilor în concordanţă cu liniile directoare?

Pag. 157 din 180

e) Personalul este informat în legătură cu politicile, reglementările, standardele şi procedurile legate de IT?

f) Există o raportare regulată către

conducerea instituţiei a activităţilor legate de implementarea IT?

Managementul calităţii

a) Este dezvoltat şi întreţinut un Sistem de Management al Calităţii (SMC), incluzând procese şi standarde validate de dezvoltare şi achiziţie a sistemelor informatice?

b) Au fost formulate cerinţe clare de

calitate şi transpuse în indicatori cuantificabili şi realizabili, proceduri şi politici?

c) Îmbunătăţirea continuă se realizează

prin monitorizare permanentă, analiză şi măsurarea abaterilor şi comunicarea rezultatelor către beneficiari?

Respectarea reglementărilor in domeniu

a) Cine are responsabilitatea asigurării că aplicaţiile informatice sunt actualizate în conformitate cu ultima versiune furnizată?

b) Există licenţe pentru tot software-ul folosit? Identificaţi şi menţionaţi ce software fără licenţă este folosit?

Managementul resurselor umane IT

a) Sunt definite şi agreate practici care sprijină menţinerea resurselor umane cu competenţă ridicată?

b) Există politici şi proceduri referitoare la recrutarea şi retenţia personalului?

Pag. 158 din 180

c) Au fost stabilite competenţele personalului, acoperirea rolurilor, dependenţa de persoanele critice?

d) Se realizează evaluarea performanţelor angajaţilor?

e) Au fost implementate proceduri referitoare la schimbarea locului de muncă şi rezilierea contractului de muncă?

Instruirea utilizatorilor şi a personalului IT

a) Au fost identificate necesităţile de

instruire ale fiecărui grup de utilizatori?

b) A fost definită şi implementată o strategie de creare a unor programe de instruire eficientă, cu rezultate cuantificabile: reducerea erorilor cauzate de utilizatori, creşterea productivităţii şi conformităţii cu controalele cheie (de exemplu,referitoare la măsurile de securitate)?

c) Au fost realizate sesiunile de instruire? A fost efectuată evaluarea instruirii?

Autorizarea operării şi utilizării

a) Sunt disponibile cunostinţe despre noile sisteme?

b) Sunt transferate cunoştinţe către managementul afacerii?

c) Sunt transferate cunoştinţe către utilizatorii finali?

d) Sunt transferate cunoştinţe către personalul care operează şi cel care oferă suport?

Pag. 159 din 180

II. Securitatea fizică şi controalele de mediu

Controlul accesului fizic

a) Unde se află localizată camera serverelor?

b) Există proceduri formale de acces în locaţiile care găzduiesc echipamente IT importante?

c) Cine are acces la servere?

d) Cum se controlează accesul la servere (de exemplu, cartele de acces, chei, registre)?

e) În cazul existenţei cartelelor de acces, care este procedura de alocare a cartelelor către utilizatori şi cine verifică jurnalele (logurile) sistemului de carduri?

f) Există cerinţa ca vizitatorii să fie însoţiţi de un reprezentant al entităţii?

Protecţia mediului

a) Există în camera serverelor următoarele dotări:

- sisteme de prevenire a incendiilor - dispozitive pentru controlul umidităţii - podea falsă - aer condiţionat - dispozitive UPS - senzori de mişcare - camere de supraveghere video Detaliaţi pentru fiecare caz.

b) Sunt serverele amplasate pe rackuri speciale?

c) Sunt elementele active ale reţelei amplasate în rackuri speciale?

d) Sunt cablurile de reţea protejate? Sunt acestea etichetate?

Pag. 160 din 180

III. Securitatea informaţiei şi a sistemelor


a) Există o politică de securitate IT?

b) Există o persoană care este responsabilă cu actualizarea acestei politici?

c) Este aceasta politică distribuită tuturor utilizatorilor?

d) Ce măsuri s-au aplicat pentru a creşte conştientizarea în cadrul instituţiei cu privire la securitate (cursuri, prezentări, mesaje pe e-mail)?

e) Este stabilită obligaţia ca utilizatorii să semneze că au luat la cunoştinţă de politica de securitate IT? Dacă da, cu ce periodicitate?

Administrarea securităţii

a) Exista un responsabil desemnat cu administrarea securităţii IT?

b) Îndatoririle acestui responsabil sunt definite formal?

c) Este asigurată separarea responsabilităţilor pentru această persoană?

d) Aplicarea politicilor de securitate acoperă toate activităţile IT într-un mod consistent?

Controlul accesului logic

Revizuirea jurnalelor (logurilor)

a) Sunt logurile aplicaţiilor importante monitorizate şi analizate periodic? Dacă da, detaliaţi (cine, când, cum, dovezi).

Administrarea utilizatorilor

a) Există o procedură pentru administrarea drepturilor utilizatorilor? Dacă da, detaliaţi.

Pag. 161 din 180

b) Conţine procedura de mai sus măsurile ce trebuie luate în cazul în care un angajat pleacă din cadrul instituţiei?

c) Există un formular pentru crearea şi ştergerea conturilor de utilizator şi pentru acordarea, modificarea şi revocarea drepturilor de acces? Dacă da, cine îl aprobă?

d) Au fost toate drepturile de acces acordate în baza acestui formular?

e) Sunt utilizatorii activi ai sistemului verificaţi periodic în concordanţă cu lista de angajaţi furnizată de departamentul Resurse umane?

Reguli pentru parole

a) Ce reguli pentru parole sunt definite pentru accesul în subsistemele IT?

Trebuie avute în vedere următoarele criterii: - lungimea parolei - reguli referitoare la conţinutul parolei - perioada de valabilitate a parolei - numărul de încercări până la blocarea

contului - cine poate debloca un cont - numărul de parole precedente reţinute

de către sistem - utilizatorii sunt forţaţi să schimbe

parola la prima accesare?

Control asupra conturilor cu drepturi depline / utilitarelor de sistem

a) Cine are drept de administrare pentru aplicaţiile / subsistemele de bază?

b) Cine alocă şi autorizează conturile cu drepturi depline?

c) Cine monitorizează activităţile utilizatorilor cu drepturi depline?

Acces IT

a) Au programatorii drepturi de acces la datele din mediul de producţie?

Pag. 162 din 180

b) Are compartimentul IT drepturi de acces la datele celorlalte structuri ale entităţii ? Detaliaţi.

Conexiuni externe

a) Există desemnată o persoană pentru administrarea reţelei IT?

b) Ce măsuri sunt luate pentru monitorizarea reţelei din punct de vedere al securităţii şi al performanţei?

c) Cum sunt protejate conexiunile externe împotriva atacurilor informatice (viruşi, acces neautorizat)?

d) Au existat astfel de atacuri?

e) Ce organizaţii externe au acces la sistem? (de exemplu, Internet, conexiuni on-line)

f) Există proceduri de control privind accesul de la distanţă?

g) Ce măsuri de securitate sunt aplicate în acest sens? Detaliaţi

IV. Continuitatea sistemelor

Copii de siguranţă (back-up) ale datelor, aplicaţiilor şi sistemelor

a) Există o procedură formală de salvare (back-up)?

b) Detaliaţi următoarele: - tip de copie (automată / manuală) - frecvenţa copiilor de siguranţă - conţinutul copiei (date, aplicaţii,

sisteme, tip: complet / incremental) - locul de stocare a copiei/copiilor - tipul de suport - alte comentarii.

c) Există o procedură de testare a copiilor de siguranţă? Dacă da, cu ce frecvenţă şi cum este ea evidenţiată?

d) Există o procedură de recuperare / restaurare?

Pag. 163 din 180

e) A analizat instituţia timpul necesar restaurării datelor /aplicaţiilor/ sistemului?

Managementul datelor

a) Au fost identificate cerinţele de date, sunt stabilite proceduri eficiente pentru a gestiona colecţiile de date, copiile de siguranţă/backup şi recuperarea datelor, precum şi distribuirea eficientă şi aranjarea cronologică a acestora pe suporturile de informaţii?

b) Sunt stabilite aranjamente privind depozitarea şi păstrarea datelor?

c) Este reglementat sistemul de management al bibliotecii media?

d) Sunt stabilite proceduri referitoare la eliminarea datelor perimate?

e) Sunt stabilite cerinţe şi proceduri de securitate pentru managementul datelor?

Managementul performanţei şi al capacităţii

a) Entitatea a implementat un cadru procedural referitor la: planificarea performanţei şi capacităţii, evaluarea performanţei şi capacităţii actuale şi viitoare, monitorizare şi raportare?

b) Se realizează o analiză a capacităţii pentru hardware şi pentru reţea? Dacă da, cu ce periodicitate? Detaliaţi.

c) Se realizează o analiză a performanţei şi a capacităţii aplicaţiilor IT? Dacă da, ce indicatori sunt avuţi în vedere? Detaliaţi.

d) Se realizează o analiză a gâtuirilor de trafic? Dacă da, detaliaţi.

Pag. 164 din 180

Managementul problemelor

a) Cum se semnalează compartimentului IT apariţia problemelor?

b) Cum se ţine evidenţa problemelor în cadrul compartimentului IT ? Există un registru al problemelor sau o altă formă de evidenţă?

c) Există implementată o funcţie de help-desk? Dacă da, ce date statistice sunt disponibile şi cum sunt ele utilizate?

d) Ce etape trebuie urmate pentru rezolvarea problemelor?

e) Verifică şi analizează conducerea lista de probleme?

f) Există o procedură de urmărire a problemelor rămase deschise?

g) Există o procedură în caz de nerezolvare a situaţiei?

h) Sunt procedurile documentate şi aduse la cunoştinţă celor direct implicaţi?

Planificarea continuităţii

a) Există un cadru de referinţă pentru continuitatea IT? Au fost stabilite resurselor IT critice?

b) Există un plan privind asigurarea continuităţii activităţii instituţiei şi, în particular, a operaţiunilor IT? Dacă da, revizuiţi şi evaluaţi planul.

c) Este planul întreţinut şi testat cu regularitate? Dacă da, cu ce periodicitate?

d) Au fost organizate instruiri privind planul de continuitate IT?

a) Sunt stabilite proceduri pentru recuperarea şi reluarea serviciilor IT, stocarea externă a copiilor de siguranţă, revizia post-reluare?

Pag. 165 din 180

Managementul operaţiunilor IT

Proceduri operaţionale IT

a) Sunt documentate următoarele proceduri operaţionale:

- Proceduri la început de zi / sfârşit de zi, dacă e cazul

- Proceduri de recuperare sau restaurare

- Instalare de software şi hardware

- Raportarea incidentelor

- Rezolvarea problemelor

Detaliaţi în fiecare caz.

b) Cine este responsabil de actualizarea procedurilor operaţionale IT?

Protecţia împotriva viruşilor

a) Ce soluţie antivirus se foloseşte?

b) Această soluţie se aplică tuturor serverelor şi staţiilor de lucru?

c) Cum se realizează actualizarea fişierului de definiţii antivirus? (Se va verifica actualitatea fişierele de definiţii pentru server şi câteva staţii de lucru).

d) Au utilizatorii permisiunea să dezactiveze software-ul antivirus la staţia proprie de lucru?

e) Software-ul antivirus scanează toate fişierele (pe server şi staţiile de lucru) automat, în mod periodic?

Managementul configuraţiilor

a) Configuraţiile echipamentelor IT şi ale aplicaţiilor sunt menţinute în mod formal şi în alte locaţii decât sistemele? Dacă da, unde şi ce măsuri de protecţie se utilizează?

b) Configuraţiile sunt actualizate, comprehensive şi complete?

Pag. 166 din 180

c) Manualele de instalare / utilizare sunt actualizate?

d) Cum este informat personalul utilizator care sunt cele mai noi versiuni ale documentaţiei?

V. Managementul schimbării şi al dezvoltării sistemului

Managementul schimbării

a) Cine iniţiază modificarea sau dezvoltarea aplicaţiilor?

b) Există un formular pentru cereri de modificare sau schimbare? Dacă da, cine trebuie să îl aprobe?

c) Există o procedură pentru a se asigura că investiţiile în hardware, software şi servicii IT sunt evaluate corespunzător? Dacă da, detaliaţi.

d) Au fost adoptate metodologii şi instrumente standard pentru dezvoltarea unor aplicaţii „in site” (pe plan local)? Dacă da, utilizarea acestei metodologii este transpusă în proceduri documentate?

e) Cum se asigură conducerea de armonizarea necesităţilor activităţii cu schimbările IT?

f) Există o evidenţă a tuturor modificărilor efectuate? Dacă da, detaliaţi.

g) Exista o separaţie a mediilor de producţie (operaţional), de test şi de dezvoltare?

h) Există o procedură de implementare a schimbărilor tehnice în mediul operaţional?

i) Sunt modificările de urgenţă permise în cadrul instituţiei?

Dacă da:

j) Există o etapizare privind documentarea, abordarea retrospectivă, testarea?

Pag. 167 din 180

k) Cine iniţiază, cine aprobă, cine efectuează, cine monitorizează aceste modificări?

l) Există o evidenţă clară a acestor modificări?

m) Se testează modificările de urgenţă?

n) Ce măsuri de control se iau pentru ca doar modificările autorizate să fie transferate din mediul de test în cel de producţie?

Procurarea resurselor

a) Este implementat un cadru de control al achiziţiilor?

b) Se realizează managementul contractelor cu furnizorii, există politici pentru selectarea furnizorilor şi achiziţionarea resurselor?

Instalarea şi acreditarea soluţiilor şi schimbărilor

a) S-a efectuat instruirea pesonalului pentru utilizarea noului sistem?

b) Au fost elaborate documente privind:

Planul de testare, Planul de implementare?

c) Există proceduri privind: mediul de

test, conversia sistemului şi a datelor, testarea schimbărilor, testul final de acceptare, promovarea în producţie, revizia post-implementare?

Achiziţia şi întreţinerea aplicaţiilor software

a) A fost asigurat cadrul pentru desfăşurarea următoarelor activităţi şi satisfacerea următoarelor cerinţe: o Proiectarea de nivel înalt o Proiectarea detaliată o Controlul şi auditabilitatea

Pag. 168 din 180

aplicaţiilor o Securitatea şi disponibilitatea

aplicaţiilor o Configurarea şi implementarea

aplicaţiilor software achiziţionate o Actualizări majore ale sistemelor

existente o Dezvoltarea aplicaţiilor software o Asigurarea calităţii software o Managementul cerinţelor

aplicaţiilor o Întreţinerea aplicaţiilor software?

Achiziţia şi întreţinerea infrastructurii tehnologice

a) A fost asigurat cadrul pentru desfăşurarea următoarelor activităţi şi satisfacerea următoarelor cerinţe: o Planul de achiziţie a infrastructurii

tehnologice o Protecţia şi disponibilitatea

resurselor infrastructurii o Întreţinerea infrastructurii o Mediul de testare a fezabilităţii?

-

VI. Auditul intern IT

Audit intern IT

a) Cum este asigurată funcţia de audit intern privind domeniul IT în cadrul instituţiei?

b) Care este pregătirea profesională a auditorilor interni în domeniul IT?

c) Ce metodologie folosesc aceştia?

d) Care este ritmicitatea elaborării Raportului de audit intern? Conţine acesta aspecte legate de activitatea IT? Dacă da, precizaţi cum se valorifică constatările? Dacă nu, v-aţi propus abordarea aspectelor legate de IT în rapoartele viitoare?

Pag. 169 din 180

Anexa 4

Lista de verificare pentru evaluarea riscurilor IT

Arii de risc

Nivel

risc

Comentarii / Observaţii / Concluzii

I. Dependenţa de IT

Complexitatea sistemului IT

a) Determinaţi volumul tranzacţiilor gestionate de fiecare din aplicaţiile informatice (subsisteme).

b) Determinaţi cât de nouă este tehnologia utilizată, pentru fiecare din subsistemele sistemului informatic.

c) Determinaţi modul de operare.

d) Preluarea datelor are loc în format electronic sau manual (suport hârtie), în timp real sau pe loturi?

Timpul de supravieţuire fără IT

a) Care ar fi consecinţele asupra activităţii curente în eventualitatea întreruperii funcţionării sistemului informatic sau a unui subsistem al acestuia?

b) Evaluaţi: posibilitatea refacerii funcţionalităţii, costurile, intervalul de timp necesar pentru reluarea funcţionării, impact economic, social, de imagine, etc.

II. Resurse umane şi cunoştinţe IT

Aptitudini curente

a) Structura profesională a angajaţilor din compartimentul IT (organigramă, număr, stat funcţiuni, fişe de post etc.) sau a persoanelor care au responsabilităţi privind serviciile IT externalizate

Pag. 170 din 180

b) Care este nivelul de pregătire al angajaţilor IT în raport cu necesităţile activităţii curente?

c) Există anumite cunoştinţe IT care sunt concentrate la nivelul unui număr restrâns de personal?

d) Care sunt metodele de evaluare ale personalului IT?

Resurse umane comparate cu volumul de muncă

a) Personalul IT este suficient în raport cu volumul de muncă?

b) Personalul IT este supraîncărcat?

c) Activitatea personalului IT este una specifică exclusiv domeniului IT?

Fluctuaţia personalului

a) Care a fost fluctuaţia personalului IT în ultima perioadă (de exemplu, 3 ani)?

b) Cum este apreciat moralul personalului IT? (nivel de salarizare, stimulente, posibilităţi de promovare, stagii de pregătire şi de perfecţionare etc.).

III. Încrederea în IT

Complexitatea sistemului şi documentaţia aplicaţiilor informatice

a) Cum este apreciată complexitatea aplicaţiilor (subsistemelor) din cadrul sistemului informatic?

b) Aplicaţiile sunt utilizate preponderent pentru înregistrarea şi raportarea datelor?

c) Ce interfeţe există între aplicaţii?

Erori / intervenţii manuale

a) Care este tipul şi numărul şi erorilor constatate în cazul fiecărei aplicaţii în parte?

Pag. 171 din 180

b) În ce măsură datele generate de aplicaţii suferă prelucrări manuale ulterioare din partea utilizatorilor?

c) Există probleme de reconciliere între datele furnizate de diverse aplicaţii sau chiar în cadrul aceleiaşi aplicaţii?

Scalabilitate

a) În ce măsură sistemul informatic actual poate suporta creşterea volumului de operaţiuni şi/sau de date?

Sisteme depăşite

a) Tehnologia folosită este de ultimă generaţie?

IV. Schimbări în IT

Dezvoltarea de aplicaţii informatice

a) Există o metodologie de dezvoltare internă a aplicaţiilor informatice?

Noi tehnologii

a) Schimbările în sistemele IT au în vedere tehnologii de ultima generaţie?

Modificări ale proceselor activităţii

a) În ce măsură se vor impune în viitorul apropiat modificări structurale ale proceselor activităţii care să atragă modificări ale sistemului informatic? Este pregătit cadrul de reglementare în acest sens?

IV. Externalizarea IT

Externalizarea

a) Care este nivelul externalizării, incluzând suportul tehnic, operare, dezvoltare, suport utilizatori etc.?

b) Există o politică de externalizare a activităţilor IT (existenţa unor colaboratori, furnizori de servicii IT, etc.) bazată pe: identificarea relaţiilor cu toţi furnizorii,

Pag. 172 din 180

managementul relaţiilor cu furnizorii, managementul riscului asociat furnizorilor?

c) Au fost incluse clauze de tip SLA (Service

Level Agreement) în contractele cu furnizorii de servicii?

d) Au fost incluse clauze de confidenţialitate

în contractele cu furnizorii de servicii? Este monitorizată performanţa furnizorului?

Furnizorii IT

a) Ce riscuri decurg din contractele cu furnizorii?

b) Se efectuează o analiză privind nivelul de dependenţă faţă de furnizor?

Dezvoltarea de aplicaţii informatice de către utilizatori

a) În ce măsură aplicaţiile informatice sunt dezvoltate intern?

V. Focalizarea pe activităţile afacerii

Conştientizarea conducerii privind riscurile IT

a) În ce măsura conducerea este conştientă de importanţa sistemelor IT şi a riscurilor conexe?

b) Este implementat un registru al riscurilor care să reflecte abordarea managementului cu privire la modelul de risc şi de management al riscurilor?

Necesităţi curente în raport cu funcţionalitatea sistemului informatic

a) Sistemul informatic acoperă necesităţile activităţii curente?

Pag. 173 din 180

VI. Securitatea informaţiei

Motivaţia pentru fraudă / infracţiuni (internă şi externă)

a) Care sunt tipurile de informaţii gestionate de către fiecare din aplicaţiile sau subsistemele informatice?

b) În ce măsură ar fi afectată reputaţia instituţiei în caz de fraudă informatică? Detaliaţi.

Sensibilitatea datelor

a) Sunt confidenţiale datele gestionate de către aplicaţiile informatice? În ce grad?

Legislaţie şi regulamente

a) Domeniul de activitate este riguros reglementat?

b) Există date cu caracter personal gestionate de aplicaţiile IT? Dacă da, detaliaţi cum sunt acestea gestionate şi care este modalitatea de aliniere la legislaţia în vigoare care reglementează domeniul.

Pag. 174 din 180

Anexa 5

Lista de verificare privind evaluarea controalelor de aplicaţie

Controale de aplicaţie / Teste

Comentarii / Observaţii

CA1 - Descrierea aplicaţiei

a) Care sunt funcţiile pe care le realizează

aplicaţia?

b) Prezentaţi arhitectura aplicaţiei (platforma hardware / software, produsele software de tip instrument, sistemul de gestiune a bazelor de date, sistemul de comunicaţie).

c) Este desemnat un administrator al aplicaţiei?

d) Care este numărul utilizatorilor? Cine sunt utilizatorii?

e) Care sunt volumul şi valoarea tranzacţiilor procesate lunar de aplicaţia financiar-contabilă

f) Puncte slabe sau probleme cunoscute

CA2 - Posibilitatea de efectuare a auditului

a) Evidenţele tranzacţiilor să fie stocate şi să

fie complete pentru întreaga perioadă de raportare.

b) Evidenţierea unei tranzacţii să conţină suficiente informaţii pentru a stabili un parcurs de audit.

c) Totalurile tranzacţiilor să se regăsească în

situaţiile financiare.

CA3 - Utilizarea CAAT

a) Identificarea informaţiilor care vor fi

necesare pentru prelucrare în scopul obţinerii probelor de audit

Pag. 175 din 180

b) Obţinerea datelor într-un format adecvat pentru a fi prelucrate

c) Stocarea datelor într-o structură care să permită prelucrările impuse de necesităţile auditului

d) Obţinerea asigurării privind versiunea de programe utilizată şi corectitudinea surselor de date

e) Înţelegerea modului în care operează sistemul (identificarea fişierelor care conţin datele de interes şi a structurii acestora

f) Cunoaşterea structurii înregistrărilor, pentru a le putea descrie în programul de interogare

g) Formularea interogărilor asupra fişierelor / bazelor de date

h) Cunoaşterea modului de operare a sistemului

i) Determinarea criteriilor de selecţie a înregistrărilor în funcţie de metoda de eşantionare şi de tipurile de prelucrări

j) Interogarea sistemului şi obţinerea probelor de audit. Trebuie adoptată cea mai adecvată formă de prezentare a rezultatelor.

CA4 - Determinarea răspunderii

a) Implementarea unor controale care identifică şi raportează acţiunile utilizatorilor şi înregistrează informaţiile într-un registru de audit

b) Conducerea examinează în mod regulat rapoartele de excepţii extrase din registrul de audit şi ia măsuri de urmărire ori de câte ori sunt identificate discrepanţe

c) Există controale adecvate pentru a asigura că personalul care introduce sau procesează tranzacţii nu poate să modifice şi înregistrările aferente activităţilor lor, înscrise în registrul de audit

Pag. 176 din 180

d) Integritatea registrelor de audit este asigurată prin criptarea datelor sau prin copierea registrului într-un director sau fişier protejat

CA5 - Documentaţia aplicaţiei

a) Evaluaţi dacă documentaţia aplicaţiei este adecvată, este cuprinzătoare şi actualizată, dacă personalul îndreptăţit are copii ale documentaţiei relevante sau acces la aceasta, dacă există instrucţiuni de lucru pentru procedurile zilnice şi pentru rezolvarea unor probleme frecvente, dacă se păstrează copii de rezervă ale documentaţiei aplicaţiei în scopul recuperării după dezastru şi al reluării rapide a procesării.

CA6 - Securitatea aplicaţiei: acces fizic şi logic

a) Evaluaţi protecţiile fizice în vigoare pentru a preveni accesul neautorizat la aplicaţie sau la anumite funcţii ale acesteia, în funcţie de atribuţii, pentru punerea în aplicare a separării sarcinilor şi a respectării atribuţiilor

b) Se vor testa controalele logice de acces utilizate pentru a restricţiona accesul la aplicaţie sau la anumite funcţii ale acesteia pentru punerea în aplicare a separării sarcinilor şi a respectării atribuţiilor

c) Se vor testa controalele logice existente pentru restricţionarea activităţii utilizatorilor după ce a fost obţinut accesul la o aplicaţie (de exemplu, meniuri restricţionate)

d) Evaluaţi controalele existente în cadrul aplicaţiei pentru identificarea acţiunilor utilizatorilor individuali (utilizarea de identificări unice, jurnale de operaţii, utilizarea semnăturii electronice)

Pag. 177 din 180

CA7- Controale la introducerea datelor

a) Evaluaţi procedurile / controalele existente

care să asigure că introducerea datelor este autorizată şi exactă.

b) Evaluaţi controalele care asigură că toate tranzacţiile valabile au fost introduse (verificări de completitudine şi exactitate), că există proceduri pentru tratarea tranzacţiilor respinse sau eronate.

c) Verificaţi acţiunile care se întreprind pentru monitorizarea datelor de intrare.

CA8 - Controale ale transmisiei de date

a) Verificaţi că transferul de date în reţea este

atât complet, cât şi exact (utilizarea semnăturii digitale, criptarea datelor, secvenţierea tranzacţiilor).

b) Evaluaţi modelul de identificare şi tratare a riscurilor asociate transferului de date în reţea.

CA9 - Controalele procesării

a) Evaluaţi controalele existente care să asigure că toate tranzacţiile au fost procesate, pentru a reduce riscul de procesare a unor tranzacţii incomplete, eronate sau frauduloase.

b) Evaluaţi controalele existente care să asigure că fişierele sunt procesate corect (controalele pot fi de natură fizică sau logică şi previn riscul de procesare necorespunzătoare a unor tranzacţii).

c) Verificaţi modul în care aplicaţia şi

personalul tratează erorile de procesare.

d) Verificaţi existenţa controalelor pentru a asigura exactitatea procesării şi a controalelor pentru detectarea / prevenirea procesării duble.

Pag. 178 din 180

CA10 - Controale la ieşire

a) Verificaţi existenţa controalelor care să asigure că ieşirile de la calculator sunt stocate corect şi atunci când sunt transmise acestea ajung la destinaţie.

b) Verificaţi existenţa controalelor corespunzătoare privind licenţele software.

c) Verificaţi existenţa controalelor privind caracterul rezonabil, exactitatea şi completitudinea ieşirilor.

CA11 - Controalele datelor permanente

a) Verificaţi existenţa şi testaţi controalele privind autorizarea accesului şi a modificărilor datelor permanente.

CA12 – Conformitatea cu legislaţia

a) Existenţa unor politici sau proceduri formale prin care se atribuie responsabilitatea monitorizării mediului legislativ care poate avea impact asupra sistemelor informatice

b) Este alocată responsabilitatea asigurării conformităţii aplicaţiilor cu clauzele contractuale privind: asigurarea că sistemul implementat

este actualizat în conformitate cu ultima versiune furnizată;

respectarea termenelor privind distribuirea ultimelor versiuni de echipamente, software, documentaţie;

livrarea şi instalarea configuraţiilor hardware / software pe baza unui grafic, conform clauzelor contractuale, pe etape şi la termenele stabilite;

respectarea obligaţiilor privind instruirea şi suportul tehnic, stabilite prin contract;

furnizarea pachetelor software conform clauzelor contractuale. Verificarea existenţei şi valabilităţii licenţelor furnizate în cadrul contractului;

Pag. 179 din 180

asigurarea suportului tehnic (prin telefon, e-mail sau utilizând un portal; portalul poate avea secţiuni distincte foarte utile pentru suport tehnic specializat pe categorii relevante de probleme / anomalii sau pentru instruirea continuă a utilizatorilor;

furnizarea documentaţiei tehnice conform contractului: conţinutul (lista, numărul manualelor, limba) şi formatul (tipărit, în format electronic, on-line);

c) Existenţa unor proceduri scrise privind analiza şi acceptarea produselor şi serviciilor furnizate în cadrul contractului, precum şi recepţia cantitativă şi calitativă

d) Existenţa specificaţiilor funcţionale, a manualelor de utilizare şi administrare pentru proiectele de dezvoltare software

e) Existenţa manualelor de utilizare pentru echipamentele livrate.

CA13 - Efectuarea testelor de audit

a) Verificaţi existenţa evidenţelor complete ale tranzacţiilor aferente aplicaţiei.

b) Evaluaţi fezabilitatea colectării probelor de audit relevante şi suficiente.

c) Evaluaţi dacă parcursul (pista) de audit se poate reconstitui din fluxul de prelucrare.

d) Evaluaţi dacă aplicaţia este disponibilă atunci când este nevoie, funcţionează conform cerinţelor, este fiabilă şi are implementate controale sigure asupra integrităţii datelor.

e) Detaliaţi procedura de actualizare a aplicaţiei ca urmare a modificărilor legislative.

f) Evaluaţi aplicaţia din punct de vedere al gestionării resurselor informatice disponibile (date, funcţionalitate, tehnologii, facilităţi, resurse umane, etc.).

g) Evaluaţi cunoaşterea funcţionării aplicaţiei de către utilizatori.

Pag. 180 din 180

h) Se vor efectua teste de verificare a parametrilor şi funcţionalităţii aplicaţiei din punct de vedere operaţional şi al conformităţii cu legislaţia în vigoare.

i) Se vor efectua teste de verificare la nivel de funcţie pentru procedurile critice din punctul de vedere al performanţei (lansarea, derularea şi abandonarea procedurilor, accesul la informaţii în funcţie de perioada de înregistrare/raportare, restaurarea bazei de date).

j) Se vor efectua teste privind corectitudinea încărcării / actualizării informaţiilor în baza de date. Se vor menţiona metodele de depistare şi rezolvare a erorilor. Se vor testa funcţiile de regăsire şi analiză a informaţiei.

k) Evaluaţi interoperabilitatea aplicaţiei cu celelalte aplicaţii din sistemul informatic.

l) Evaluaţi sistemul de raportare propriu al aplicaţiei şi sistemul de raportare global.

m) Se vor efectua teste privind modul de accesare a aplicaţiei la nivel de reţea, la nivelul staţiei de lucru şi la nivel de aplicaţie.

n) Se vor testa funcţiile de conectare ca utilizator final şi de operare în timp real, pe tranzacţii de test.

o) Evaluaţi funcţionalitatea comunicării cu nivelele superior şi inferior.

p) Analizaţi soluţia de gestionare a documentelor electronice.

q) Verificaţi prin teste protecţiile aferente aplicaţiei.

eg 2012 - curtea de conturi a...

Documents